„Podle odhadů je ohroženo více než 5,3 miliardy zařízení, od těch s Androidem, iOS, Windows a Linuxem až po IoT zařízení, pokud tato zařízení používají Bluetooth technologii,“ varuje český národní bezpečnostní tým (CSIRT).
Na základě těchto nedostatků předvedli zaměstnanci firmy Armis i způsob, jak jich zneužít k útoku. Nazvali ho BlueBorne a názorně na něm předvedli, jak ovládnou zařízení s otevřeným Bluetooth, a další útoky.
Názorný příklad útoku:
K úspěšnému útoku stačí, aby oběť měla zapnutý bluetooth a ten ani nemusí být s útočníkovým zařízením spárovaný.
Bezpečnostní firma již před několika měsíci zaslala informace o odhalených zranitelnostech řadě společností, jako jsou Google, Apple, Microsoft, Samsung nebo Linuxové nadaci. Některé produkty tak již dostaly záplaty, které by měly před hrozbami chránit, jiné ne.
Konkrétně záplaty již vydaly společnosti Google a Microsoft, u Apple iOS jsou v bezpečí uživatelé, kteří používají nejnovější verzi mobilního operačního systému, tedy 10.x.
Podle serveru HackerNews je však v ohrožení stále velké množství zařízení. Patří sem všechna zařízení s iOS od verze 9.3.5 a starší a více než 1,1 miliardy aktivních zařízení s Androidem, která mají starší verzi operačního systému, než je Marshmallow, tedy 6.x. Problém mají i další miliony přístrojů s Linuxem, které využívají bluetooth ke komunikaci. Sem patří mnoho přístrojů označovaných souhrnně jako internet věcí a také odvozené platformy jako Tizen, BlueZ nebo 3.3-rc1. Uživatelé takových zařízení musí čekat, než jejich výrobce připraví opravu.
Majitelé androidích zařízení si mohou zkontrolovat, zda je jejich přístroj napadnutelný pomocí tohoto útoku. Ke kontrole slouží tato aplikace z obchodu s aplikacemi Google Play. Pokud není zařízení chráněno, vyplatí se bluetooth vypnout.
Podrobnosti o chybách najdete na této stránce firmy Armis, která je objevila.
