BrakTooth - podatność Bluetooth. Zagrożone popularne telefony i PC
BrakTooth to zestaw aż 16 podatności, jakie zostały wykryte w układach Bluetooth od wiodących producentów. W niektórych przypadkach włamanie i wstrzyknięcie złośliwego kodu jest zbyt łatwe.
Podatności BrakTooth zostały wykryte w dużej liczbie wiodących podzespołów Bluetooth, w tym od Intela, Qualcoma, Texas Instruments czy Infeneona. Układy te znajdują się, między innymi, w urządzeniach Surface, Dell czy w telefonach Xiaomi wykorzystujących procesory Qualcomma. W sumie podatnych jest 1400 odmian chipsetów, jakie są stosowane w elektronice użytkowej – od laptopów, przez telefony aż po urządzenia Internetu rzeczy.
Wszystkie podatności zostały wylistowane pod tym adresem. Nie wszystkie chipsety są jednak wrażliwe na wszystkie ataki, a w części przypadków atak nie umożliwi wykonanie na maszynie zdalnego, złośliwego kodu. Zagrożenie w niektórych przypadkach ogranicza się do możliwości zawieszenia się urządzenia. W niektórych możliwa jest jednak utrata nad nim kontroli.
O BrakTooth producenci zostali powiadomieni wiele miesięcy temu. Niewielu cokolwiek zrobiło
Jak informuje kolektyw badaczy na wyżej linkowanej witrynie, minęło wiele miesięcy od odkrycia BrakTooth. Ci, wedle dobrego obyczaju i z poczucia odpowiedzialności, trzymali znalezisko w tajemnicy, informując o nim wyłącznie dostawców sprzętu. Zareagowali jednak tylko Expressif, Infineon i Bluetrum wydając nowe wersje oprogramowania układowego, gdzie usterka jest załatana. Pozostali producenci twierdzą, że nadal pracują nad nowym oprogramowaniem. Texas Instruments wręcz stwierdził, że nie zamierza nic zrobić z problemem.
Niestety na dziś nie ma opracowanej pełnej listy urządzeń wykorzystujących wadliwe podzespoły. Podatności wykryto w produktach z linii Optiplex, Alienware, Surface Go, Surface Pro, Surface Book, Poco F1 i Oppo Reno, lista jednak będzie nieporównywalnie dłuższa.
Specjaliści zalecają wyłączanie Bluetootha, gdy ten nie jest niezbędny. Przypominają też, że atakujący musi być w zasięgu łączności Bluetooth i nie może przeprowadzić ataku zdalnie przez Internet.