Apple og Intel har begge lanceret patches til den bluetooth-sårbarhed, der gør det muligt for en hacker at opfange og manipulere data, der udveksles mellem to enheder.
Det skriver Securityweek.
Sårbarheden knytter sig til funktionerne Secure Simple Pairing og LE Secure Connections, der bruges til dataoverførsel. Bluetooth-specifikationerne kræver ikke, at enheder med de to funktioner validerer offentlige nøgler, der modtages ved parring med en anden enhed.
En angriber, der er inden for bluetooth-afstand af to enheder, der udveksler data, kan derfor udføre at man-in-the-middle-angreb og opfange den krypteringsnøgle, enhederne udveksler - og levere hvad som helst til modtageren.
Ifølge organisationen Bluetooth Special Interest Group (SIG), der vedligeholder bluetooth-teknologien, er det dog forholdsvist svært at udnytte sårbarheden.
»Angriberens enhed skal opfange den offentlige nøgleudveksling ved at blokere hver transmission, sende en modtagelsesbekræftelse til afsender-enheden og levere den ondsindede trafik til modtagerenheden inden for kort tid. Og hvis kun en af de to enheder har sårbarheden, virker angrebet ikke,« lyder det fra SIG.
Blandt andet Apple og Intel har allerede udsendt patches, der adresserer sårbarheden, og SIG har opdateret bluetooth-specifikationerne, så det nu er et krav, at enheder validerer offentlige nøgler.
Også Qualcomm har udsendt et fix til sårbarheden.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
