Cybersecurity

BIAS ภัยคุกคามใหม่โจมตีอุปกรณ์ที่มี Bluetooth

สมาร์ทโฟน แล็บท็อป และอุปกรณ์อื่นๆมากกว่า 30 เครื่องถูกทดสอบและพบช่องโหว่

Bluetooth Impersonation AttackS (BIAS) ช่องโหว่ในระบบ Bluetooth ที่อยู่ในอุปกรณ์สมาร์ทโฟน แล็บท็อป และอุปกรณ์อัจฉริยะ

ตามที่นักวิจัยบอกว่าช่องโหว่อยู่ในส่วนประกอบ Bluetooth Classics ซึ่งสันนิษฐานได้ว่าช่องโหว่นี้มีอยู่ในอุปกรณ์ที่มี Bluetooth

ทีมนักวิจัยทำการทดสอบช่องโหว่ในอุปกรณ์หลากหลายรุ่น ทั้งแล็บท็อป แท็บเล็ต และสมาร์ทโฟนจากแบรนด์ชื่อดังที่มีเวอร์ชั่นของ Bluetooth หลายเวอร์ชั่น “เราทดลองการโจมตี BIAS กับชิป Bluetooth มากกว่า 28 รุ่น บน 30 อุปกรณ์ โดยประกอบไปด้วยชิปของ Cypress, Qualcomm, Apple, Intel, Samsung และ CSR ซึ่งทุกรุ่นมีช่องโหว่ที่ถูก BIAS โจมตีได้ทั้งหมด”

รายชื่ออุปกรณ์ทดสอบ:

การโจมตี BIAS เป็นการลัดกระบวนการยืนยันตัวตนของ Bluetooth โดยสิ้นเชิงไม่ว่าจะมีการป้องกัน การเข้ารหัส หรือยืนยันสองขั้นตอน

การที่อุปกรณ์สองชิ้นเชื่อมต่อกันเป็นเวลานานทำให้ระบบสร้างคีย์ระยะยาวที่ใช้สำหรับการเชื่อมต่อ เมื่อไหร่ก็ตามที่มีการเชื่อมต่ออย่างปลอดภัย จะเรียกคีย์ระยะยาวดังกล่าวและปัจจัยร่วมมาใช้

การเจาะช่องโหว่ก็คือการปลอมแปลงอุปกรณ์ให้เหมือนมีคีย์ระยะยาว เพื่อลัดกระบวนการและขโมยข้อมูลออกจากอุปกรณ์

ตัวอย่างการโจมตี BIAS

ทีมนักวิจัยติดต่อ Bluetooth Special Interest Group (Bluetooth SIG) หน่วยงานที่ดูแลการพัฒนามาตรฐานของ Bluetooth เพื่อแจ้งให้ทราบช่องโหว่ดังกล่าว และเสนอให้มีการประกาศ

“อุปกรณ์ที่ไม่ได้รับการอัพเดตหลังจากตุลาคม 2019 อุปกรณ์ของคุณยังตกอยู่ในความเสี่ยงที่จะโดนโจมตี”

Author: Amer Owaida
Source:
https://www.welivesecurity.com/2020/05/19/bluetooth-flaw-exposes-countless-devices-bias-attacks/
Translated by: Worapon H.

%d bloggers like this: