Apple og Intel klar med patches til sårbarhed i bluetooth, der lader hackere stjæle data ved overførsel

26. juli 2018 kl. 10:423
Apple og Intel klar med patches til sårbarhed i bluetooth, der lader hackere stjæle data ved overførsel
Illustration: Nanna Skytte.
En gammel sårbarhed i bluetooth-protokollen gør det muligt at stjæle data, der overføres mellem enheder. Tech-giganter er på vej med patches.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Apple og Intel har begge lanceret patches til den bluetooth-sårbarhed, der gør det muligt for en hacker at opfange og manipulere data, der udveksles mellem to enheder.

Det skriver Securityweek.

Sårbarheden knytter sig til funktionerne Secure Simple Pairing og LE Secure Connections, der bruges til dataoverførsel. Bluetooth-specifikationerne kræver ikke, at enheder med de to funktioner validerer offentlige nøgler, der modtages ved parring med en anden enhed.

En angriber, der er inden for bluetooth-afstand af to enheder, der udveksler data, kan derfor udføre at man-in-the-middle-angreb og opfange den krypteringsnøgle, enhederne udveksler - og levere hvad som helst til modtageren.

Artiklen fortsætter efter annoncen

Ifølge organisationen Bluetooth Special Interest Group (SIG), der vedligeholder bluetooth-teknologien, er det dog forholdsvist svært at udnytte sårbarheden.

»Angriberens enhed skal opfange den offentlige nøgleudveksling ved at blokere hver transmission, sende en modtagelsesbekræftelse til afsender-enheden og levere den ondsindede trafik til modtagerenheden inden for kort tid. Og hvis kun en af de to enheder har sårbarheden, virker angrebet ikke,« lyder det fra SIG.

Blandt andet Apple og Intel har allerede udsendt patches, der adresserer sårbarheden, og SIG har opdateret bluetooth-specifikationerne, så det nu er et krav, at enheder validerer offentlige nøgler.

Også Qualcomm har udsendt et fix til sårbarheden.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
27. juli 2018 kl. 07:33

Nu er det ikke alt trafik der kan opsnappes. Det er kun i det øjeblik man parrer to devices at man er sårbar.

Så det har næppe været en så stor trussel som det er blæst op til.

2
26. juli 2018 kl. 15:09

Nok fordi Apple har været briefet i god tid før nyheden breakede, så et fix allerede er distribueret.

Du kan finde alle detaljer her:https://www.cs.technion.ac.il/~biham/BT/#introMed links til Apple's opdateringer under Vendors information.

1
26. juli 2018 kl. 12:50

Hvem har set der er kommet patch? Jeg har ingen fået hverken til iPhone eller mac.