BlueBorne hacker telefoner og computere på 10 sekunder via bluetooth

Sikkerhedsvirksomhed fandt i foråret kritiske huller i bluetooth-sikkerheden. På få sekunder kunne de bryde ind i enheder med tændt bluetooth inden for en radius af ti meter.

10 sekunder. Så lang tid skal sikkerhedsvirksomheden Armis bruge på at komme ind i devices såsom telefoner og computere, som kører eksempelvis Android, Linux og Windows. Her kan Armis registrere al netværkstrafik sendt til og fra det angrebne device samt modificere al data.

Dermed har sikkerhedsvirksomheden fundet en metode til at omgå firewalls, tilgå og modificere personlige og muligvis sensitive data.

Det skriver Ars Technica.

Det kan researcherne fra Armis gøre med alle devices, som endnu ikke har lappet de specifikke sikkerhedshuller kaldet BlueBorne, inden for en radius af ca. 10 meter, med tændt bluetooth. Der skal hverken klikkes på links eller på tilgængelige bluetooth-forbindelser i nærheden.

Læs også: Hackere kan overtage Segways hoverboards gennem bluetooth-forbindelsen

Det eneste, det kræver for, at Arms kan komme ind i devicet, er, at bluetooth på den enkelte enhed er tændt. Den kan endda være tilsluttet andre bluetooth-forbindelse såsom højtaler el. lign., og Armis vil stadig kunne komme ind med BlueBorne.

Dermed udnytter BlueBorne, at devices med tændt bluetooth altid leder efter tilgængelige forbindelser.

Ifølge Ars Technica er angrebet mest effektivt på enheder med Android og Linux, fordi bluetooth-implementeringen på begge operativsystemer skulle være sårbar overfor udnyttelse af sårbarheder i forhold til memory corruption. Og det skulle gøre det muligt at afvikle så godt som hvilken som helst kode på systemet.

Læs også: Tyskland bandlyser Bluetooth-dukke

Bluetooth har ellers været kendt for ikke at have kritiske sikkerhedshuller. Men Armis mener, at det bør genovervejes. Der er muligvis endnu flere sikkerhedsbrister end dem, som Armis har fundet.

Armis har kontaktet Google, Microsoft og Apple tilbage i april, og Linux i august. Alle har aftalt at holde hullerne i sikkerheden hemmelige indtil nu, hvor de skulle være lappet gennem opdateringer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
Maciej Szeliga

Ifølge artiklen på Ars Technica, som er brugt som kilde i ovenstående artikel, står der at iOS før version 10 også er sårbar.


En anden artikel (kan ikke huske om det var her eller på Computerworld) viser at langt de fleste IOS enheder er opgraderet, så vidt jeg husker over 90%, hvor f.eks. Android er en platform som har rigtigt mange gamle releases i drift.

Per Hansen

Android er en platform som har rigtigt mange gamle releases i drift


Åh, hvorfor er det nu lige at man ikke kan designe Android efter opdaterbarhed, så nye versioner altid vil kunne pushes til selv gamle telefoner? Der må jo være tale om bare at sætte sig ned og gøre det, hvis man virkelig ønsker det. Man kan jo have både pladsen og ydelsen i gamle enheder med i tankerne.

Kunne man ikke fra Googles side forbyde modifikationer i styresystemet fra producenternes side? Eller forlange at modifikationer altid laves som udvidelser, som bygger oven på Android-systemet, så selve Android-systemet altid kan opdateres uafhængigt af producentens tilføjelser?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017