Bluetooth-hiaten Braktooth: patchen is traag


Het Amerikaanse agentschap Cybersecurity & Infrastructure Security Agency (CISA) waarschuwt leveranciers en fabrikanten van Bluetooth-chips en apparaten met Bluetooth om de Braktooth-kloof dringend te dichten. Beveiligingsonderzoekers hebben een Proof-of-Concept-Code (PoC) gepubliceerd waarmee de fabrikanten Bluetooth-chips kunnen controleren op Braktooth-kwetsbaarheden.

Tegelijkertijd kunnen aanvallers de code echter misbruiken om exploits voor aanvallen te creëren. Dienovereenkomstig roept de CISA een bericht op Leveranciers en fabrikanten komen nu in actie.

Eigenaren van kwetsbare apparaten hebben hun handen vastgebonden. Je kunt alleen maar wachten tot de fabrikanten van Bluetooth-chips beveiligde firmwareversies distribueren naar fabrikanten, die ze op hun beurt implementeren in patches die gebruikers vervolgens kunnen installeren.

Sinds de eerste informatie over de hiaten bekend werd in september 2021, is er niet veel veranderd op het gebied van bescherming door aanbieders en fabrikanten. Tot op heden hebben Bluetrum Technology, Espressif Systems, Infineon (Cypress) en Zhuhai Jieli Technology beveiligingspatches uitgebracht. Zo hebben Qualcomm en Intel nog steeds de status “Aangekondigd”. Texas Instruments wil volgens de tabel geef helemaal geen updates.

De 16 Bluetooth-kwetsbaarheden (bijv. CVE-2021-28139 “hoog“) bedreigen talloze audioapparaten, Microsoft’s Surface-serie en veel smart home- en IoT-apparaten. Volgens de ontdekkers van de kwetsbaarheid zijn de Bluetooth-standaarden 3.0 tot 5.2 aangetast.

Aanvallen moeten mogelijk zijn met een ESP32-bord in combinatie met een aangepaste firmware in combinatie met een computer waarop de PoC draait. In het ergste geval kan kwaadaardige code worden uitgevoerd na succesvolle aanvallen.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: