اعترفت تقنية Bluetooth SIG ، وهي الهيئة الحاكمة التي تشرف على تقنية الاتصالات ، بوجود ثغرة أمنية خطيرة جديدة في تحذير للمستخدمين.
قد تسمح الثغرة الأمنية ، التي اكتشفها الباحثون لأول مرة في مركز أمان تكنولوجيا المعلومات والخصوصية والمساءلة (CISPA) ، للجهات الفاعلة السيئة بنقل البيانات المرسلة بين الأجهزة المتصلة بالبلوتوث وحتى تغييرها.
أطلق الباحثون على مشكلة عدم حصانة KNOB أو Key Negotiation في Bluetooth. ذلك لأن الهجوم يحدث عندما يتصل جهازان ببعضهما البعض (أو "يتفاوضان" على اتصال)
وكتب الباحثون في ورقة نشرت يوم الثلاثاء "إن هجوم KNOB يمثل تهديدًا خطيرًا لأمن وخصوصية جميع مستخدمي Bluetooth".
"لقد فوجئنا باكتشاف مثل هذه القضايا الأساسية وفقًا لمعايير تستخدم على نطاق واسع وعمرها 20 عامًا."
كيف يعمل KNOB
- بدلاً من محاولة كسر تشفير Bluetooth ، تعمل مشكلة عدم الحصانة عن طريق إجبار جهازين على استخدام تشفير أضعف وقت الاتصال. إذا كان المهاجم قادرًا على "بين" جهازين خلال فترة الاتصال ، فيمكنهما إجبار كلا الجهازين على إنشاء مفتاح التشفير مع عدد صغير من الأحرف – في الواقع ، يمكن أن يكون حتى قصيرة مثل حرف واحد. من الواضح أن مفاتيح التشفير الأصغر هي أسهل بكثير في القوة الغاشمة. لحسن الحظ ، نظرًا لطبيعة الثغرة الأمنية ، هناك نافذة ضيقة جدًا من الفرص للاستفادة منها. قد يحتاج المهاجم إلى التواجد أثناء عملية اتصال Bluetooth الفعلية بين جهازين.
بالإضافة إلى ذلك ، لا تؤثر مشكلة عدم الحصانة على الأجهزة التي تعتمد على معيار Bluetooth Low Energy ، مثل الأجهزة القابلة للارتداء.
في تنبيه الأمان الخاص بها ، لاحظت Bluetooth SIG أنه لا يوجد دليل على أن الثغرة الأمنية قد استخدمت بشكل ضار في البرية. من ناحية أخرى ، اعترفت المجموعة بأنه ليس لديهم وسيلة لإصلاح الهجوم في نهايتهم.
يمكن لمصنعي الأجهزة حماية مستخدميهم من مشكلة عدم الحصانة من خلال ضمان توفر اتصالات Bluetooth الحد الأدنى من مفتاح التشفير سبعة أحرف.
العديد من الشركات ، مثل Apple، نفذت بالفعل إصلاحات تخفيف في آخر تحديثات البرامج الخاصة بهم.
كل هذا يعني أنه يجب عليك التحديث إلى أحدث إصدار متاح من أنظمة التشغيل الخاصة بك في أقرب وقت ممكن.
ليست هذه هي ثغرة البلوتوث الوحيدة التي ظهرت في الأشهر الأخيرة. مرة أخرى في شهر يونيو ، تم اكتشاف عيب آخر قد يسمح بتتبع المستخدمين في معيار الاتصالات.
