Z tematem „wyłącz natychmiast bluetooth, bo otworzył on w miliardach urządzeń drzwi hakerom” miałem poczekać, aż zostaną opublikowane pełne szczegóły ataku/zagrożenia, tak by móc choćby w przybliżeniu ocenić na ile jest to faktyczne zagrożenie (w takiej skali), a na ile „marketing” firmy stojącej za odkryciem. Zdanie zmieniłem, bo już kilka osób podesłało mi dziś linki do serwisów, które opisują jakąś apokalipsę, i jeszcze chwila i ludzie zaczną masowo palić urządzenia z tym interfejsem (Bluetooth).

BlueBorne, czyli sinozęby w (potencjalnych) opałach

Jak informują przedstawiciele (badacze?) firmy Armis na świecie jest ponad 8 miliardów urządzeń wspierających łączność bezprzewodową w standardzie Bluetooth – od telefonów, przez sprzęt RTV i AGD, po rozwiązania IoT i.. ogólnie wszystko (samochody, sprzęt medyczny…).

I w tym momencie dochodzimy do błędu, który został nazwany BlueBorne (tym razem oprócz logo, strony internetowej mamy też cały komplet filmów/animacji ;-)), i – wg Armis – zagraża ponad 5 miliardom urządzeń, działających pod kontrolą takich systemów jak Android, Windows, Linux i iOS:

Tak naprawdę BlueBorne to zestaw kilku różnych podatności (CVE-2017-8628, CVE-2017-0783, CVE-2017-0781, CVE-2017-0782, CVE-2017-0785, CVE-2017-0783, CVE-2017-1000250, CVE-2017-1000251), z których przynajmniej kilka pozwala m.in. na przejęcie kontroli nad urządzeniem, czy wykonanie ataku typu Man in the Middle. Część już została usunięta i są dostępne aktualizacje (pamiętamy o regularnych aktualizacjach), a część… pewnie zostanie z nami jeszcze na długo, jak miliony (miliardy?) urządzeń, które nigdy nie doczekają się już aktualizacji (w tym sporo telefonów z systemem Android).

Szczegółów technicznych samych ataków na razie brak (producenci sprzętu i oprogramowania mają czas na wypuszczenie aktualizacji, a użytkownicy na… ich zastosowanie), ale pokazano 3 dema:

Android

Windows (MiTM)

Linux

By poznać bardziej szczegółowe informacje musimy jeszcze chwile poczekać, ale jeśli jesteście zainteresowani tematem, to warto zerknąć do opublikowanego przez Armis dokumentu (techniczne aspekty ataku), oraz na stronę internetową poświęconą BlueBorne.

Jest i aplikacja mobilna

Pojawiła się też (a jakże by inaczej ;-)) oficjalna aplikacja „BlueBorne Vulnerability Scanner by Armis” na urządzenia z systemem Android, dzięki której możecie sprawdzić czy Wasze urządzenie jest podatne, oraz ewentualnie przeskanować urządzenia w okolicy (o ile do ataku ponoć uprzędzenie nie musi być w trybie widoczności, to do analizy tak – aplikacja sprawdzi tylko te urządzenia w okolicy, które będą ustawione jako widoczne).

Niebezpiecznie bezpiecznie

O ile w przypadku komputerów (i telefonów z iOS) w większości przypadków są już dostępne – ewentualnie za chwile będą – aktualizacje, to trochę inaczej (gorzej) sytuacja wygląda w przypadku telefonów z systemem Android, gdzie nie dość, że fragmentacja systemu (liczba wersji na urządzeniach będących ciągle w użyciu) jest olbrzymia, to w przypadku wielu urządzeń nie ma co marzyć o aktualizacji, a już na pewno nie szybkiej (choć są wyjątki). W przypadku telewizorów i innych urządzeń AGD/RTV sytuacja wygląda podobnie. A można przypuszczać, że gdy szczegóły błędów zostaną ujawnione (lub za chwilę rozpracowane na podstawie dostępnych aktualizacji), to właśnie tego typu rządzenia (komputery i telefony) będą najbardziej łakomym kąskiem dla hakerów/przestępców (tak, wiem, że to nie to samo).

Do tego jest jeszcze cała masa innej elektroniki, w tym choćby opaska Mi Band 2, którą zazwyczaj noszę na ręku, i która ma na stałe włączony moduł Bluetooth. Ale na szczęście w takich przypadkach raczej nie spodziewam się problemów, bo nie dość, że jest tam dość specyficzny „system operacyjny”, to ponoć problem nie dotyczy urządzeń, które komunikują się tylko i wyłącznie z wykorzystaniem standardu Bluetooth LE (Low Energy). A do tego Xiaomi raczej regularnie wypuszcza aktualizacje oprogramowania do swoich urządzeń, więc nawet jakby co, to…

W każdym razie, jeśli masz w swoim urządzaniu jakiś bardziej rozbudowany (i powszechny) system operacyjny, warto rozważyć przynajmniej tymczasowe wyłączenie łączności Bluetooth – do momentu, aż pojawi się odpowiednia poprawka (o ile się pojawi). I choć znane są przypadki bootnetów działających na urządzeniach IoT (np. „inteligentne” żarówki), to chyba tym razem aż tak źle nie będzie… może… ;-)

Ale to też dobry przykład na to, że niekoniecznie „inteligentne wszystko” i wszechobecna łączność z internetem (i/lub telefonem) coraz to większej grupy urządzeń jest tym co powinniśmy bezrefleksyjnie łykać, bo to „fajne i nowoczesne”.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk