» »

Resna ranljivost v Bluetoothu

Resna ranljivost v Bluetoothu

Slo-Tech - V implementaciji Bluetootha za Android, iOS, Windows in Linux so odkrili skupino ranljivosti, poimenovanih BlueBorne, ki napadalcem omogočajo napad na napravo, ne da bi se z njo sploh povezali (pair). Z izkoriščanjem teh ranljivosti lahko napadalci na napravah poganjajo zlonamerno kodo, izvajajo napade MITM ter prestrezajo komunikacijo. Izrabiti jih je mogoče tudi pri pisanju črva, ki se samodejno širi po napravah v bližini. V Armisu, kjer so ranljivosti prvi odkrili, poudarjajo, da gre za najresnejšo varnostno ranljivost v Bluetoothu doslej.

Ranljivih naj bi bil okrog pet milijard naprav. Proizvajalci programske opreme so z ranljivostjo seznanjeni in že pripravljajo popravke - nekateri so jih že - a vse naprave posodobitev ne bodo dobili. Približno polovica je namreč tako starih, da posodobitev zanje ne bo več. Prizadete so vse verzije Androida (razen naprav, ki uporabljajo izključno Bluetooth Low Energy), ki še niso dobili septembrske posodobitve, vse neposodobljene verzije Windows od Viste dalje (popravek je prispel v julijskem paketu), iOS 9.3.5 in starejši ter Linux. Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

Uporabnikom svetujejo, da Bluetooth izključijo, dokler naprave niso posodobili. Vseeno vse ni tako črno, saj se implementacije Bluetootha med napravami razlikujejo, zato bi bilo težko napisati virus, ki bi lahko okužil vse. Prav tako mora biti naprava v dometu in mora imeti vključen Bluetooth, kar večinoma ni res. Se pa to spreminja s čedalje več napravami, ki se povezujejo prek Bluetootha, denimo zvočniki, slušalkami in podobno. To prinaša nevarnosti.

26 komentarjev

Spc ::

Bluetooth je najbolj neuporaben protokol za moje pojme.
Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.
 

konspirator ::

Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

Glavni razlog, da bo google prej ali slej moral presekati sedanji gordijski vozel z X, Y, Z, Q implementacijo androida, ko samo Q in Z izvedba dobi nove posodobitve, namesto da bi bila enaka za vse
- vsaj za ono, kar je pod "pokrovom", launcherje in vizualne/zvočne/vibra efekte se lahko spremeni.
--

blay44 ::

:)
Sem vedu, da so kabli zakon.

Unknown_001 ::

Ja... k zobarju ga bo treba pelat. On bo že vedel kako in kaj.
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

MrStein ::

Spc je izjavil:

Bluetooth je najbolj neuporaben protokol za moje pojme.
Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

Eh, kako pa boš sicer povezal?
Ima slabosti, ampak je na voljo in (ponavadi) deluje.
Še na PC večkrat prenašam preko BT, ker je simple and it works.
Hitrost je za današnje čase patetična, ampak... it works.
PS: Kaj se je zgodilo z "high speed" opcijo? Tisto, ki bi šla preko WLAN.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Spc ::

MrStein je izjavil:

Spc je izjavil:

Bluetooth je najbolj neuporaben protokol za moje pojme.
Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

Eh, kako pa boš sicer povezal?

Nevem no, amapak lahko bi naredili zadevo preko Wi-Fija.
Wi-Fi je dosti boljši kaj se tiče dometa in uporablja dosti bolj standardne protokole in tako bi lahko telefona preko lokalne ipv4/ipv6 mreže z pair-anjem prenašala podatke brez uporabe APja.
 

Zgodovina sprememb…

  • spremenil: Spc ()

SaXsIm ::

Bluetooth ni protokol. Bluetooth je standard. Protokol je specifikacija, kako naj se naprave med seboj povežejo, v kakšni obliki se pošiljajo podatki in podobno. Standard pa je nadpomenka, poleg protokolov (bluetooth uporablja več kot enega) predpisuje tudi tehnične specifikacije naprav, frekvenčno območje, antene in podobno.

Tako da ne nabijaj, ko ti že osnove niso jasne.
SaXsIm

Ghost7 ::

Bluetooth dela čist ok. Super za prostorčno povezlivost telefon - avtoradijo. In dela.

filip007 ::

Potem ti lahko nekdo napade Bluetooth zvočnik in predvaja svojo muziko.
Palačinka z Ajvarjem in stopljenim sirom v mikrovalovki.

GupeM ::

Spc je izjavil:

Bluetooth je najbolj neuporaben protokol za moje pojme.
Ponavadi ne deluje tako kot bi moral, sem že imel slabe izkušnje ko sem hotel povezat 2 telefona.

Bluetooth je za nekatere stvari res zakon.

Telefon -> Avtoradio (s prostoročnim telefoniranjem. Odlično za poslušanje podcastov med vožnjo)
Telefon -> zvočnik/slušalke, (kjer ne rabiš hude kvalitete zvoka)
Telefon -> pametne ure/zapestnice (izredno majhna poraba, dovolj hiter za te zadeve)

Pogosto, vendar vse redkeje, tudi telefon -> telefon (enostavno in vedno dela. Problem je hitrost)

Slabe izkušnje pa sem imel že z vsem živim. Tako z USB kabli, UTP kabli, Wi-Fijem, ... Celo z navadno pošto, CD-ji, diski, disketami, ...

Ghost7 ::

Sej verjetnost, da te napadejo je majhna. Če imaš upravičen sum, da si tarča, pač kupiš telefon z nameščenim popravkom. Sčasoma (5 let) bomo pa že vsi imeli posodobljen telefon.

Zanimivo je, da iphone ni omenjen, res pa je, da ne omogoča prenosa datotek. Že vejo zakaj... Me pa moti, ker je bilo enostavneje preko BT (prej sem bil na androidu) poslat sliko, sedaj moram tako "operacijo" izvajati preko emaila.

Isotropic ::

konspirator je izjavil:

Glavni problem so seveda naprave z Androidom, ki posodobitve dobijo, ko se proizvajalci tega lotijo in ne ko Google posodobi Android. Za nekoliko starejše naprave pa posodobitev pogosto sploh ni.

Glavni razlog, da bo google prej ali slej moral presekati sedanji gordijski vozel z X, Y, Z, Q implementacijo androida, ko samo Q in Z izvedba dobi nove posodobitve, namesto da bi bila enaka za vse
- vsaj za ono, kar je pod "pokrovom", launcherje in vizualne/zvočne/vibra efekte se lahko spremeni.

a naj nebi bilo to z androidom O?

MrStein ::

Ghost7 je izjavil:


Zanimivo je, da iphone ni omenjen

Kako ne? Tu je:
"Prizadete so vse verzije ... iOS 9.3.5 in starejši..."

Zakaj je Linux omenjen po "in starejši" pa ne vem. :)

Spc je izjavil:


Nevem no, amapak lahko bi naredili zadevo preko Wi-Fija.

Lahko bi.
In celo so, na nekaterih telefonih (recimo SGS3).

Zakaj to ni standard, pa je... iz tvojih ust v božja ušesa.

In kot rečeno, že BT 3.0 je uvedel hitrejši prenos preko WiFi, samo zgleda noben tega ne podpira.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Ghost7 ::

Jap, ios tudi, ampak ne da bi hvalil ios, amapk vsi telefoni dobijo nove posodobitve, torej bodo to kmalu uredili. Žal pri treh androidih, ki jih imamo doma posodobitev ni bilo že od novega telefona. Pa nima veze BT, amapk nasplošno, sistemi so zastareli.

MrStein ::

Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BivšiUser2 ::

Saj je, če si običen uporabnik oz. ne menjaš iz starejše različice na novejšo. :)) Btw, je kje kak univerzalen tutorial glede portanja novejših androidov na stare naprave?
SloTech - če nisi z nami, si persona non grata.

veso266 ::

MrStein je izjavil:

Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.


morda je že star je pa zadnji android ki ima kaj skeuomorphsa (ikone in programi izgledajo tako kot v resničnem življenju (npr: pri snemalniku zvoka imaš občudek kot da gledaš pravi mikrofon ne pa nekaj črt z luknjicami na zaslonu

1. lep mikrofon:
 Android 44 ICS Mikrofon

Android 44 ICS Mikrofon

(android 4.4 na galaxy s4)

2. grd mikrofon:
 Android 5.0 Lolipop Mikrofon

Android 5.0 Lolipop Mikrofon

(Samsung galaxy S5 Android 5)

3. samo na slabše še gre:
 fake-mikrofon

fake-mikrofon

(Android ?(verjetno 6 ali 7), Telefon ?)


ko bo Android spet tačel z skeuomorphs bom upgradal (ali pa ko bom prisiljen ko se bo moj Galaxy S4 Mode Barve pokvaril
malo branja: https://www.scientificamerican.com/arti... kako je bilo včasih lepo in kako je sedaj vse grdo (to je moje mnenje, drugim je mogoče všeč drugače)
Why do you need an e signature if everyone can delete it

Zgodovina sprememb…

  • spremenilo: veso266 ()

MrStein ::

Ja pri zgledu pa res zgleda kot da je prvi pogoj razvijalcu "make it worse than it was before".
Pri večini softvera.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Unknown_001 ::

Minimalizem pač...
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

MrStein ::

Minimalizem je, če odstraniš tisto kar je odveč.
Če odstraniš stvari samo zato, da odstraniš, potem je to idiotizem, ne pa minimalizem.
Primerov je žal ogromno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

konspirator ::

MrStein je izjavil:

Zdaj bo uletelo pet komadov, ki bodo trdili, da je Android 4.4 čist OK in uporaben in kaj jaz vem še kaj.

Na sgs3 lte sem dal za par dni zadnji lineageos https://download.lineageos.org/i9305 (android 7.1.2).
Gps dela slabo, najde pol manj satelitov kot na kk 4.4.4 https://forum.xda-developers.com/galaxy... (10 vs 20), kamera dela slabše slike + nobenih nastavitev, baterija prazna v pol dneva.

Ko sedanji sgs crkne bom v težavah (ob predpostavki da bi želel vsaj stock android v7 ali 8 brez bloatwarea) kajti za g pixel ne dam +500 eur, lg nexus pa je na ravni Zastave in 70-tih https://slo-tech.com/forum/t707846/p564... .Bi znal potem res pasti kakšen jabuk za 200-300, ali sgs s6, nekaj z amoled zaslonom.


Kaj omogoča android v7/8 kar android 4.4.4 ne ?
--

Zgodovina sprememb…

GizmoX ::

konspirator je izjavil:

Kaj omogoča android v7/8 kar android 4.4.4 ne ?
"Split screen" - multitasking v obliki 2 programov, ki sta prikazana istočasno (to bi npr. jaz pogrešal).
 Split screen

Split screen

udirač => uni. dipl. inž. rač.

MrStein ::

To dela na 4.4 na Samsungih. ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

GizmoX ::

MrStein je izjavil:

To dela na 4.4 na Samsungih. ;)
Resno? Zanimivo. Kateri telefon pa je bil tak?
udirač => uni. dipl. inž. rač.

MrStein ::

SGS3, vsaj.
Ne dela sicer s čisto vsako aplikacijo.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

GizmoX ::

Zanimivo. Samsung leta pred konkurenco :)
V nougatu mi prav pride tudi "Quick switching" (2x tap na gumb za predogled oken/aplikacij, pa zamenja trenutno aplikacijo s prejšnjo aplikacijo; če ponoviš, te 2 spet zamenja),
ter "Launcher shortcuts" (držanje ikonce programa ponudi menu hitrih akcij - Koledar-Nov dogodek, Telefon-Nov stik, SMS-Nov pogovor, Todoist-Add task, Keep-Nova opomba, Ura-Začni štoparico).

Je imel 4.4 kje tudi kaj podobnega? Quick switching sem (verjetno na v.5 ali 6) imel na nekem custom ROMu.
udirač => uni. dipl. inž. rač.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Huda ranljivost v vseh napravah z Wi-Fi (strani: 1 2 )

Oddelek: Novice / Varnost
7223085 (18050) SeMiNeSanja
»

Resna ranljivost v Bluetoothu

Oddelek: Novice / Varnost
269661 (6555) GizmoX
»

Androidi in iPhoni z Broadcomovim čipom za Wi-Fi močno ranljivi

Oddelek: Novice / Varnost
73437 (2002) hojnikb
»

Androidni telefon ni eden, telefonov je na tisoče (strani: 1 2 3 )

Oddelek: Novice / Android
10142635 (31661) MrStein

Več podobnih tem