Security Week 36: Braktooth, новые уязвимости в Bluetooth-чипах

Security Week 36: Braktooth, новые уязвимости в Bluetooth-чипах
1 сентября исследователи из Сингапурского университета технологий и дизайна опубликовали информацию о 20 уязвимостях, обнаруженных в распространенных bluetooth-чипах различных производителей. Все баги можно эксплуатировать без предварительной авторизации, в большинстве случаев достаточно находиться неподалеку от атакуемого устройства, но необходимо также знать его уникальный адрес (BD_ADDR, также иногда называемый Bluetooth MAC Address из-за сходства с идентификаторами модулей Wi-Fi). Последствия — от временного сбоя в работе атакуемого чипа до полного зависания, которое лечится только перезагрузкой. В самом сложном случае исследователи реализовали выполнение кода, содержащегося в прошивке, по произвольному адресу.

e54f02da875f0a71acf7022dd4bc74ba.png

Уязвимости названы Braktooth, где использовано норвежское слово Brak, обозначающее «крушение» или «шум». Русское слово «брак» тоже хорошо подходит. Объединяет 20 уязвимостей разного типа одно — некорректная обработка пакетов данных по протоколу Link Management Protocol, который отвечает за установку соединения между устройствами. В отличие от более ранних уязвимостей в спецификации протокола Bluetooth Classic, в данном случае речь идет о некорректной реализации в устройствах конкретными производителями. Частично обнаруженные проблемы закрыты вендорами, но далеко не все устройства удастся починить.

Для практической реализации атак во всех экспериментах использовалась отладочная плата ESP-WROVER-KIT . На устройство заливалась кастомная прошивка, позволяющая рассылать пакеты данных по протоколу LMP с нестандартными параметрами. Управление платой производилось с компьютера по USB-Serial интерфейсу. Подготовленный авторами исследования Proof of Concept для старта атаки требует только уникальный адрес устройства. Демонстрационное ПО выложат в октябре, чтобы дождаться патчей от некоторых вендоров.



Самую опасную уязвимость (CVE-2021-28139) обнаружили в самой отладочной плате, а точнее, в чипе ESP32 , на базе которого она построена. Эта микросхема также используется в некоторых IoT-устройствах, а также в промышленных контроллерах (упоминается радиомодуль C2-02CPU компании Koyo Electronics). Уязвимость представляет собой классическое переполнение буфера: отправка видоизмененного запроса LMP_feature_response_ext приводит к перезаписи 8 байт данных за пределами отведенного пространства. На практике это может приводить к выполнению кода по произвольному адресу: исследователи показали возможность запуска встроенной функции стирания прошивки. Но возможно также управление выводами GPIO, что в случае промышленного PLC-контроллера представляет большую опасность. Демонстрация атаки показана на видео выше.

В ноутбуках и смартфонах (Microsoft Surface Laptop 3, Pocofone F1 и других) последствия атак не такие масштабные: можно вызвать временный отказ в работе Bluetooth-чипа или принудительное отключение устройства. Несколько типов атак приводят к полному зависанию аудиоустройств, как показано на этом видео:



Исследователи использовали технологию фаззинга для поиска уязвимостей, именно поэтому и проблем, и методов атаки было найдено сразу много: последовательно тестировались разные виды «битых» запросов. Авторы отмечают отсутствие у производителей инструментов для проведения подобного тестирования, фактически — проверки чипов на соответствие спецификациям стандарта Bluetooth в «боевых» условиях. Непросто оценить и количество подверженных устройств: уязвимые чипы могут использоваться в составе различных модулей и готовых устройств. В прессе не стесняясь говорят о миллиардах реальных уязвимых девайсов, и это, скорее всего, близко к истине.

Из 13 реально протестированных чипов для 11 патч либо уже готов, либо находится в разработке. В некоторых случаях речь идет об обновлении ПЗУ, то есть «по воздуху» такое обновление доставить нельзя. И эти, и более ранние Bluetooth-уязвимости с высокой вероятностью останутся в уже выпущенных устройствах навсегда. К счастью, за исключением одной микросхемы, практического смысла в проведении подобных атак немного.

Что еще произошло

Apple отложит внедрение технологии CSAM Detection: с релизом iOS 15 технология не заработает, как планировалось ранее . Это решение компания Apple сделала на фоне достаточно активной критики технологии, с использованием сканирования на iPhone и iPad. Компания обещает пересмотреть принципы работы системы и, скорее всего, повторит попытку внедрения в будущем.

Серьезная уязвимость в ПО Confluence, закрытая 25 августа, массово эксплуатируется. Она позволяет авторизованным, а в ряде случаев и неавторизованным пользователям выполнять произвольный код на сервере.

Западная пресса пишет о вредоносной функциональности в дешевых мобильниках по следам публикации на Хабре.

Интересный обзор новых водительских удостоверений с NFC-чипом, недавно внедренных в Исландии. Их можно добавить в Apple Wallet или подобное решение на Android. Автор статьи пишет про очевидный недостаток этой системы. «Телефонное» удостоверение личности легко подделать, хотя бы подменив на правдоподобный скриншот или сгенерировав похожую «карточку» для кошелька в сторонних сервисах.

Федеральная торговая комиссия США закрыла компанию Spyfone — производителя ПО для слежки за смартфоном. Компанию обязали уведомить всех потенциальных жертв, что на их устройствах без их ведома установлен шпионский модуль.
bluetooth braktooth
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!