Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

Dziura w Bluetooth umożliwia podsłuchiwanie smartfonów

Recommended Posts

Bluetooth Special Interest Group wydała oficjalne ostrzeżenie, w którym informuje o istnieniu dziury dającej napastnikowi dostęp do klucza szyfrującego i innych krytycznych informacji. Ich zdobycie pozwala na przeprowadzenie ataku na urządzenie ofiary.
Błąd został odkryty przez Center for IT-Security, Privacy and Accountability (CISPA), które natychmiast poinformowało o tym Bluetooth oraz takie firmy jak Amazon, Apple, Cisco, Intel czy Microsoft.

Luka ochrzczona KNOB (Key Negotiation of Bluetooth) występuje w urządzeniach z Bluetooth Classic w wersji od 1.0 do 5.1. Narażone na atak są więc urządzenia z BR/EDR, a te, które wykorzystują Bluetooth Low Energy (BLE), jak np. słuchawki AirPods, są bezpieczne.

Jak ostrzegają specjaliści, szczególnie narażone są smartfony, a przede wszystkim proces parowania urządzeń, który może zostać zakłócony przez napastnika. Ten, po zdobyciu klucza, może przechwytywać dane wymieniane pomiędzy sparowanymi urządzeniami.

Na szczęście, ze względu na zasięg Bluetooth, atak jest o tyle mało prawdopodobnny, że napastnik musi znajdować się w pobliżu. Jeśli jednak już przechwyci komunikację pomiędzy urządzeniami, to ich właściciele nie będą w stanie tego zauważyć.
Na razie wiadomo, że Apple, Microsoft, Blackberry, Cisco i Google opublikowały odpowiednie łaty oraz porady, w jaki sposób uchronić się przed atakiem.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Systemy bezprzewodowego ładowania uwalniają nas od kabli i konieczności pamiętania, gdzie zostawiliśmy ładowarkę. Wciąż jednak musimy mieć dostęp do maty czy stacji ładującej, a komercyjnie dostępne systemy zwykle ograniczają się do możliwości bezprzewodowego ładowania smartfonów czy szczoteczek elektrycznych. Jednak na Uniwersytecie Tokijskim powstał system, który pozwala na bezpieczne ładowanie urządzeń w dowolnym miejscu pomieszczenia. Co więcej, system jest skalowany do tego stopnia, że w wielkie stacje ładowania można zamieniać np. całe fabryki czy magazyny.
      Wczesne próby bezprzewodowego przesyłania energii polegały na wykorzystaniu promieniowania elektromagnetycznego np. w formie mikrofal.Jednak ich wykorzystanie jest niebezpieczne. Współcześnie technologie takie znacznie udoskonalono i to do tego stopnia, że trwają prace nad bezprzewodowym przesyłaniem energii pozyskiwanej z przestrzeni kosmicznej. Jednak tego typu systemy wymagają stosowania zespołów anten oraz złożonych urządzeń do śledzenia pozycji odbiornika.
      Znacznie bezpieczniejszym sposobem przesyłania energii jest wykorzystanie magnetycznego sprzężenia indukcyjnego. Tutaj jednak pojawia się problem gwałtownego spadku natężenia pola magnetycznego wraz z odległością. Dlatego też ładowany smartfon musi leżeć na macie ładującej lub zaraz obok niej.
      Główny autor wspomnianych badań badań, doktor Takuya Sasatani z Wydziału Inżynierii Elektrycznej i Systemów Informacyjnych oraz jego koledzy – Yoshihiro Kawahara z Uniwersytetu Tokijskiego i Alanson P. Sample z University of Michigan – opracowali technikę nazwaną kwazistatycznym rezonansem wnękowym (QSCR – uasistatic cavity  resonance). Korzysta ona z przewodzących powierzchni wbudowanych w ściany pomieszczenia oraz przewodzącym słupem na jego środku. Razem tworzą one trójwymiarowe pole magnetyczne, które ładuje urządzenia dzięki dołączonym do nich niewielkim odbiornikom. Te będzie można, oczywiście, wbudować w same urządzenia. Naukowcy wybudowali na potrzeby badań niewielki aluminiowy pokój testowy o wymiarach 3x3x2 metry i wykazali, że są w stanie zasilać w dowolnym jego miejscu smartfony, żarówki czy wentylatory. Niezależnie od tego, jak są ustawione meble czy gdzie znajdują się ludzie.
      Nasze rozwiązanie pozwala na dostarczenie dziesiątków watów mocy w dowolnym miejscu pomieszczenia. Inne technologie nie dają takich możliwości. W porównaniu z obecnie stosowanymi matami czy stacjami ładującymi, mamy tutaj pełną swobodę jeśli chodzi o pozycję ładowanego urządzenia, mówi Sasatani.
      Jednym z problemów, które musieli pokonać była likwidacja szkodliwego pola elektrycznego. Poradzili sobie z tym problemem umieszczając we wnękach w ścianach rodzaj kondensatorów, dzięki którym ich urządzenie generowało pole magnetyczne „wydobywające się” ze ścian, a pole elektryczne zostało uwięzione w kondensatorach. Kolejnym wyzwaniem było zapewnienie obecności pola magnetycznego w każdym miejscu pokoju. Badacze uzyskali to tworząc liczne pola 3D. Jedno z nich było generowane z kolumny w centrum pokoju, inne znajdowały się w rogach.
      Efektywność energetyczna takiego rozwiązania przekracza 37% w dowolnym miejscu pomieszczenia. Testy bezpieczeństwa pokazały, że system może dostarczyć do dowolnego punktu pokoju co najmniej 50 watów, bez przekraczania zaleceń dotyczących natężenia pola elektromagnetycznego. Jednak Sasatani przyznaje, że przeprowadzono bardzo wstępne badania i konieczne są bardziej szczegółowe eksperymenty, by sprawdzić, czy system jest bezpieczny.
      Mimo, że QSCR znajduje się dopiero na wstępnych etapach rozwoju, niewykluczone że w przyszłości ta lub podobne technologie zrewolucjonizują nasze życie. Dzięki nim bowiem możliwe byłoby umieszczenie komputerów, inteligentnych urządzeń czy robotów w dowolnym punkcie pomieszczenia, bez potrzeby pamiętania o ich ładowaniu. Jednym z poważnych wyzwań, przed którymi może stanąć nowa technologia jest konieczność dostosowania już istniejących pomieszczeń. O ile nowe budynki można by projektować i wznosić z myślą o użyciu ich jako wielkich bezprzewodowych ładowarek, to istniejące wymagałyby poważnych przeróbek. Sasatani jest jednak optymistą. Być może w przyszłości powstaną odpowiednie przewodzące farby i wystarczy pomalować już istniejące pomieszczenie, stwierdza.
      Szczegółowy opis technologii znajdziemy na łamach Nature Electronics.
       


      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Rozwiązaniem problemu pomiędzy szybkością działania komputerów kwantowych a koherencją kubitów może być zastosowanie dziur, twierdzą australijscy naukowcy. To zaś może prowadzić do powstania kubitów nadających się do zastosowania w minikomputerach kwantowych.
      Jedną z metod stworzenia kubitu – kwantowego bitu – jest wykorzystanie spinu elektronu. Aby uczynić komputer kwantowy tak szybkim, jak to tylko możliwe, chcielibyśmy mieć możliwość manipulowania spinami wyłącznie za pomocą pola elektrycznego, dostarczanego za pomocą standardowych elektrod.
      Zwykle spiny nie reagują na pole elektryczne, jednak z niektórych materiałach spiny wchodzi w niebezpośrednie interakcje z polem elektrycznym. Mamy tutaj do czynienia z tzw. sprzężeniem spinowo-orbitalnym. Eksperci zajmujący się tym tematem obawiają się jednak, że gdy taka interakcja jest zbyt silna, wszelkie korzyści z tego zjawiska zostaną utracone, gdyż dojdzie do dekoherencji i utraty kwantowej informacji.
      Jeśli elektrony zaczynają wchodzić w interakcje z polami kwantowymi, które im aplikujemy w laboratorium, są też wystawione na niepożądane zmienne pola elektryczne, które istnieją w każdym materiale. Potocznie nazywamy to „szumem”. Ten szum może zniszczyć delikatną informację kwantową, mówi główny autor badań, profesor Dimi Culcer z Uniwersytetu Nowej Południowej Walii.
      Nasze badania pokazują jednak, że takie obawy są nieuzasadnione. Nasze teoretyczne badania wykazały, że problem można rozwiązać wykorzystując dziury – które można opisać jako brak elektronu – zachowujące się jak elektrony z ładunkiem dodatnim, wyjaśnia uczony.
      Dzięki wykorzystaniu dziur kwantowy bit może być odporny na fluktuacje pochodzące z tła. Co więcej, okazało się, że punkt, w którym kubit jest najmniej wrażliwy na taki szum, jest jednocześnie punktem, w którym działa on najszybciej. Z naszych badań wynika, że w każdym kwantowym bicie utworzonym z dziur istnieje taki punkt. Stanowi to podstawę do przeprowadzenia odpowiednich eksperymentów laboratoryjnych, dodaje profesor Culcer.
      Jeśli w laboratorium uda się osiągnąć te punkty, będzie można rozpocząć eksperymenty z utrzymywaniem kubitów najdłużej jak to możliwe. Będzie to też stanowiło punkt wyjścia do skalowania kubitów tak, by można było je stosować w minikomputerach.
      Wiele wskazuje na to, że takie eksperymenty mogą zakończyć się powodzeniem. Profesor Joe Salfi z University of British Columbia przypomina bowiem: Nasze niedawne eksperymenty z kubitami utworzonymi z dziur wykazały, że w ich wypadku czas koherencji jest dłuższy, niż się spodziewaliśmy. Teraz widzimy, że nasze obserwacje mają solidne podstawy teoretyczne. To bardzo dobry prognostyk na przyszłość.
      Praca Australijczyków została opublikowana na łamach npj Quantum Information.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Co najmniej 30 000 firm i organizacji w USA padło ofiarami ataków, które zostały przeprowadzone dzięki czterem nowo odkrytym dziurom w oprogramowaniu do poczty elektronicznej microsoftowego Exchange Servera. Jak poinformował ekspert ds. bezpieczeństwa, Brian Krebs, chińscy cyberprzestępcy zarazili sieci setki tysięcy organizacji narzędziami,które dają napastnikowi całkowity zdalny dostęp do zarażonych systemów.
      Microsoft opublikował poprawki 2 marca i zachęca użytkowników Exchange Servera do ich pilnego zainstalowania. Jednocześnie jednak firma poinformowała, że pojawienie się poprawek sprowokowało chińskich cyberprzestępców – grupę, której nadano nazwę „Hafnium” – do zintensyfikowania ataków na niezałatane instalacje Exchange Servera. Eksperci ostrzegają, że przestępcy wciąż mają dostęp do serwerów zhakowanych przed zainstalowaniem łatek. Łatanie nie działa, jeśli serwery już wcześniej zostały skompromitowane. Ci, którzy wykorzystują  powinni sprawdzić, czy nie padli ofiarami ataku, oświadczył amerykański National Security Council. Brian Krebs Dodaje, że użytkownicy Outlook Web Access serwera powinni sprawdzić okres pomiędzy 26 lutego a 3 marca. To właśnie w tym czasie mogło dojść do ataków. Zaniepokojenie problemem i rosnącą liczbą ofiar wyraził też Biały Dom.
      Nowo odkryte błędy pozwalają przestępcom na zdalne wykonanie kodu. Do przeprowadzenia pierwszego ataku konieczna jest możliwość ustanowienia niezabezpieczonego połączenia z portem 443 Exchange Servera, informuje Microsoft. Wspomniane błędy odkryto w oprogramowaniu Exchange Server 2013, 2016 i 2019.
      Chińska grupa Hafnium, która przeprowadza wspomniane ataki najpierw wykorzystuje dziury typu zero-day lub ukradzione hasła, by dostać się do atakowanego systemu. Następnie instalowana jest tam powłoka, dająca przestępcom zdalny dostęp. Później system jest stopniowo infiltrowany i kradzione są z niego dane.
      Chiński rząd zapewnił, że nie stoi za atakami.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Apple opublikował poprawki dla trzech dziur zero-day w systemach operacyjnych iPhone'a, iPada oraz Apple TV. Dziury znajdujące się w iOS, iPadOS oraz tvOS były aktywnie wykorzystywane przez cyberprzestępców. Poprawiono je wraz z wersjami 14.4 wszystkich wspomnianych systemów.
      Luka CVE-2021-1782 pozwalała złośliwym aplikacjom na zwiększenie uprawnienie. To dziura typu race condition. Takie luki występują, gdy program dopuszcza wykonanie wielu operacji jednocześnie, a wynik zależy od właściwej kolejności ich wykonywania. Przestępcy, zaburzając tę kolejność, mogą wywołać pojawienie się błędu i go wykorzystać.
      Z kolei CVE-2021-1871 i CVE-2021-1870 występują w silniku przeglądarki WebKit dla iPadOS-a oraz iOS-a. Dziury pozwalają napastnikowi na wykonanie dowolnego kodu.
      Dziury występują w urządzeniach iPhone 6s i nowszych, iPad Air 2 i nowych, iPad mini 4 i nowszych, iPod touch 7. generacji, Apple TV 4K oraz Apple TV HD. Producent odmówił podania informacji, jak wiele urządzeń padło ofiarą cyberprzestępców.

      « powrót do artykułu
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...