Prijava

» »

Resna ranljivost v Bluetoothu

Resna ranljivost v Bluetoothu

Slo-Tech - V implementaciji Bluetootha za Android, iOS, Windows in Linux so odkrili skupino ranljivosti, poimenovanih BlueBorne, ki napadalcem omogočajo napad na napravo, ne da bi se z njo sploh povezali (pair). Z izkoriščanjem teh ranljivosti lahko napadalci na napravah poganjajo zlonamerno kodo, izvajajo napade MITM ter prestrezajo komunikacijo. Izrabiti jih je mogoče tudi pri pisanju črva, ki se samodejno širi po napravah v bližini. V Armisu, kjer so ranljivosti prvi odkrili, poudarjajo, da gre za najresnejšo varnostno ranljivost v Bluetoothu doslej.

Ranljivih naj bi bil okrog pet milijard naprav. Proizvajalci programske opreme so z ranljivostjo seznanjeni in že pripravljajo popravke - nekateri so jih že - a vse naprave posodobitev ne bodo dobili. Približno polovica je namreč tako starih, da posodobitev zanje ne bo več. Prizadete so vse verzije Androida (razen naprav, ki uporabljajo izključno Bluetooth Low Energy), ki še niso dobili septembrske posodobitve, vse neposodobljene verzije Windows od Viste dalje (popravek je prispel v julijskem paketu), iOS 9.3.5 in starejši ter Linux. Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

Uporabnikom svetujejo, da Bluetooth izključijo, dokler naprave niso posodobili. Vseeno vse ni tako črno, saj se implementacije Bluetootha med napravami razlikujejo, zato bi bilo težko napisati virus, ki bi lahko okužil vse. Prav tako mora biti naprava v dometu in mora imeti vključen Bluetooth, kar večinoma ni res. Se pa to spreminja s čedalje več napravami, ki se povezujejo prek Bluetootha, denimo zvočniki, slušalkami in podobno. To prinaša nevarnosti.

22 komentarjev
  • avatar

    Spc ::

    Bluetooth je najbolj neuporaben protokol za moje pojme.
    Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

  • avatar

    konspirator ::

    Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

    Glavni razlog, da bo google prej ali slej moral presekati sedanji gordijski vozel z X, Y, Z, Q implementacijo androida, ko samo Q in Z izvedba dobi nove posodobitve, namesto da bi bila enaka za vse
    - vsaj za ono, kar je pod "pokrovom", launcherje in vizualne/zvočne/vibra efekte se lahko spremeni.

  • avatar

    blay44 ::

    :)
    Sem vedu, da so kabli zakon.

  • avatar

    Raptor F16 ::

    Ja... k zobarju ga bo treba pelat. On bo že vedel kako in kaj.

  • avatar

    MrStein ::

    Spc je izjavil:

    Bluetooth je najbolj neuporaben protokol za moje pojme.
    Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

    Eh, kako pa boš sicer povezal?
    Ima slabosti, ampak je na voljo in (ponavadi) deluje.
    Še na PC večkrat prenašam preko BT, ker je simple and it works.
    Hitrost je za današnje čase patetična, ampak... it works.
    PS: Kaj se je zgodilo z "high speed" opcijo? Tisto, ki bi šla preko WLAN.

  • avatar

    Spc ::

    MrStein je izjavil:

    Spc je izjavil:

    Bluetooth je najbolj neuporaben protokol za moje pojme.
    Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

    Eh, kako pa boš sicer povezal?

    Nevem no, amapak lahko bi naredili zadevo preko Wi-Fija.
    Wi-Fi je dosti boljši kaj se tiče dometa in uporablja dosti bolj standardne protokole in tako bi lahko telefona preko lokalne ipv4/ipv6 mreže z pair-anjem prenašala podatke brez uporabe APja.

  • avatar

    SaXsIm ::

    Bluetooth ni protokol. Bluetooth je standard. Protokol je specifikacija, kako naj se naprave med seboj povežejo, v kakšni obliki se pošiljajo podatki in podobno. Standard pa je nadpomenka, poleg protokolov (bluetooth uporablja več kot enega) predpisuje tudi tehnične specifikacije naprav, frekvenčno območje, antene in podobno.

    Tako da ne nabijaj, ko ti že osnove niso jasne.

  • avatar

    Ghost7 ::

    Bluetooth dela čist ok. Super za prostorčno povezlivost telefon - avtoradijo. In dela.

  • avatar

    filip007 ::

    Potem ti lahko nekdo napade Bluetooth zvočnik in predvaja svojo muziko.

  • avatar

    GupeM ::

    Spc je izjavil:

    Bluetooth je najbolj neuporaben protokol za moje pojme.
    Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

    Bluetooth je za nekatere stvari res zakon.

    Telefon -> Avtoradio (s prostoročnim telefoniranjem. Odlično za poslušanje podcastov med vožnjo)
    Telefon -> zvočnik/slušalke, (kjer ne rabiš hude kvalitete zvoka)
    Telefon -> pametne ure/zapestnice (izredno majhna poraba, dovolj hiter za te zadeve)

    Pogosto, vendar vse redkeje, tudi telefon -> telefon (enostavno in vedno dela. Problem je hitrost)

    Slabe izkušnje pa sem imel že z vsem živim. Tako z USB kabli, UTP kabli, Wi-Fijem, ... Celo z navadno pošto, CD-ji, diski, disketami, ...

  • avatar

    Ghost7 ::

    Sej verjetnost, da te napadejo je majhna. Če imaš upravičen sum, da si tarča, pač kupiš telefon z nameščenim popravkom. Sčasoma (5 let) bomo pa že vsi imeli posodobljen telefon.

    Zanimivo je, da iphone ni omenjen, res pa je, da ne omogoča prenosa datotek. Že vejo zakaj... Me pa moti, ker je bilo enostavneje preko BT (prej sem bil na androidu) poslat sliko, sedaj moram tako "operacijo" izvajati preko emaila.

  • avatar

    Isotropic ::

    konspirator je izjavil:

    Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

    Glavni razlog, da bo google prej ali slej moral presekati sedanji gordijski vozel z X, Y, Z, Q implementacijo androida, ko samo Q in Z izvedba dobi nove posodobitve, namesto da bi bila enaka za vse
    - vsaj za ono, kar je pod "pokrovom", launcherje in vizualne/zvočne/vibra efekte se lahko spremeni.

    a naj nebi bilo to z androidom O?

  • avatar

    MrStein ::

    Ghost7 je izjavil:


    Zanimivo je, da iphone ni omenjen

    Kako ne? Tu je:
    "Prizadete so vse verzije ... iOS 9.3.5 in starejši..."

    Zakaj je Linux omenjen po "in starejši" pa ne vem. :)

    Spc je izjavil:


    Nevem no, amapak lahko bi naredili zadevo preko Wi-Fija.

    Lahko bi.
    In celo so, na nekaterih telefonih (recimo SGS3).

    Zakaj to ni standard, pa je... iz tvojih ust v božja ušesa.

    In kot rečeno, že BT 3.0 je uvedel hitrejši prenos preko WiFi, samo zgleda noben tega ne podpira.

  • avatar

    Ghost7 ::

    Jap, ios tudi, ampak ne da bi hvalil ios, amapk vsi telefoni dobijo nove posodobitve, torej bodo to kmalu uredili. Žal pri treh androidih, ki jih imamo doma posodobitev ni bilo že od novega telefona. Pa nima veze BT, amapk nasplošno, sistemi so zastareli.

  • avatar

    MrStein ::

    Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.

  • avatar

    S4NNY1 ::

    Saj je, če si običen uporabnik oz. ne menjaš iz starejše različice na novejšo. :)) Btw, je kje kak univerzalen tutorial glede portanja novejših androidov na stare naprave?

  • avatar

    veso266 ::

    MrStein je izjavil:

    Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.


    morda je že star je pa zadnji android ki ima kaj skeuomorphsa (ikone in programi izgledajo tako kot v resničnem življenju (npr: pri snemalniku zvoka imaš občudek kot da gledaš pravi mikrofon ne pa nekaj črt z luknjicami na zaslonu

    1. lep mikrofon:
     Android 44 ICS Mikrofon

    Android 44 ICS Mikrofon

    (android 4.4 na galaxy s4)

    2. grd mikrofon:
     Android 5.0 Lolipop Mikrofon

    Android 5.0 Lolipop Mikrofon

    (Samsung galaxy S5 Android 5)

    3. samo na slabše še gre:
     fake-mikrofon

    fake-mikrofon

    (Android ?(verjetno 6 ali 7), Telefon ?)


    ko bo Android spet tačel z skeuomorphs bom upgradal (ali pa ko bom prisiljen ko se bo moj Galaxy S4 Mode Barve pokvaril
    malo branja: https://www.scientificamerican.com/arti... kako je bilo včasih lepo in kako je sedaj vse grdo (to je moje mnenje, drugim je mogoče všeč drugače)

  • avatar

    MrStein ::

    Ja pri zgledu pa res zgleda kot da je prvi pogoj razvijalcu "make it worse than it was before".
    Pri večini softvera.

  • avatar

    Raptor F16 ::

    Minimalizem pač...

  • avatar

    MrStein ::

    Minimalizem je, če odstraniš tisto kar je odveč.
    Če odstraniš stvari samo zato, da odstraniš, potem je to idiotizem, ne pa minimalizem.
    Primerov je žal ogromno.

  • avatar

    konspirator ::

    MrStein je izjavil:

    Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.

    Na sgs3 lte sem dal za par dni zadnji lineageos https://download.lineageos.org/i9305 (android 7.1.2).
    Gps dela slabo, najde pol manj satelitov kot na kk 4.4.4 https://forum.xda-developers.com/galaxy... (10 vs 20), kamera dela slabše slike + nobenih nastavitev, baterija prazna v pol dneva.

    Ko sedanji sgs crkne bom v težavah (ob predpostavki da bi želel vsaj stock android v7 ali 8 brez bloatwarea) kajti za g pixel ne dam +500 eur, lg nexus pa je na ravni Zastave in 70-tih https://slo-tech.com/forum/t707846/p564... .Bi znal potem res pasti kakšen jabuk za 200-300, ali sgs s6, nekaj z amoled zaslonom.


    Kaj omogoča android v7/8 kar android 4.4.4 ne ?

  • avatar

    GizmoX ::

    konspirator je izjavil:

    Kaj omogoča android v7/8 kar android 4.4.4 ne ?
    "Split screen" - multitasking v obliki 2 programov, ki sta prikazana istočasno (to bi npr. jaz pogrešal).
     Split screen

    Split screen