الرئيسية / أخبار تقنية / ثغرة أمنية في تقنية البلوتوث تؤثر على أكثر من مليار جهاز حديث

ثغرة أمنية في تقنية البلوتوث تؤثر على أكثر من مليار جهاز حديث

‫كشف أكاديميون من École Polytechnique Fédérale de Lausanne عن ثغرة أمنية في البلوتوث والتي يمكن أن تسمح للمهاجمين بانتحال جهاز مقترن عن بعد مما يعرض أكثر من مليار من الأجهزة الحديثة للقراصنة.‬

تتعلق الهجمات التي يطلق عليها هجمات انتحال هوية Bluetooth أو BIAS بتقنية Bluetooth Classic التي تدعم المعدل الأساسي (BR) ومعدل البيانات المحسن (EDR) لنقل البيانات لاسلكيًا بين الأجهزة.‬

وأوضح الباحثون في الورقة أن “مواصفات البلوتوث تحتوي على ثغرات تمكن من تنفيذ هجمات انتحال الهوية أثناء إنشاء اتصال آمن وتشمل نقاط الضعف هذه الافتقار إلى المصادقة المتبادلة الإلزامية والتبديل المفرط في الأدوار وتقليل إجراءات المصادقة”.‬

نظرًا للتأثير الواسع الانتشار للضعف قال الباحثون إنهم كشفوا بشكل مسؤول عن النتائج إلى مجموعة الاهتمام الخاص بالبلوتوث (SIG) المنظمة التي تشرف على تطوير معايير البلوتوث في ديسمبر 2019.‬

وأقرت Bluetooth SIG بالخلل مضيفة أنها قامت بتغييرات لحل الثغرة الأمنية وقالت SIG “سيتم إدخال هذه التغييرات في مراجعة المواصفات المستقبلية”.‬

ولكي يكون BIAS ناجحًا يجب أن يكون الجهاز المهاجم داخل النطاق اللاسلكي لجهاز بلوتوث الضعيف الذي سبق أن أنشأ اتصال BR / EDR مع جهاز بلوتوث آخر معروف للمهاجم.‬

كما ينبع الخلل من كيفية تعامل جهازين تم إقرانهما سابقًا مع المفتاح طويل المدى والمعروف أيضًا باسم مفتاح الارتباط والذي يُستخدم للمصادقة المتبادلة للأجهزة وتنشيط اتصال آمن بينهما.‬

يضمن مفتاح الارتباط عدم اضطرار المستخدمين إلى إقران أجهزتهم في كل مرة يحدث فيها نقل البيانات بين سماعة رأس لاسلكية وهاتف أو بين جهازي كمبيوتر محمول.‬

ويمكن للمهاجم إذن استغلال الخطأ لطلب اتصال بجهاز ضعيف عن طريق تزوير عنوان البلوتوث للطرف الآخر والعكس بالعكس وبالتالي انتحال الهوية والوصول الكامل إلى جهاز آخر دون امتلاك مفتاح الاقتران طويل المدى الذي كان تستخدم لإنشاء اتصال.‬

بشكل مختلف يسمح الهجوم لممثل سيء بانتحال عنوان جهاز تم إقرانه مسبقًا بالجهاز الهدف.‬

ما هو أكثر من ذلك يمكن دمج BIAS مع الهجمات الأخرى بما في ذلك هجوم KNOB (التفاوض على مفتاح البلوتوث) والذي يحدث عندما يجبر طرف ثالث ضحيتين أو أكثر على الاتفاق على مفتاح تشفير مع انخفاض الإنتروبيا وبالتالي السماح للمهاجم بالتهجم وفرض مفتاح التشفير واستخدامه لفك تشفير الاتصالات.‬

الأجهزة التي لم يتم تحديثها منذ ديسمبر 2019 المتأثرة‬.

مع تأثر معظم أجهزة البلوتوث المتوافقة مع المعايير بالضعف قال الباحثون أنهم اختبروا الهجوم على ما يصل إلى 30 جهازًا بما في ذلك الهواتف الذكية والأجهزة اللوحية وأجهزة الكمبيوتر المحمولة وسماعات الرأس وأجهزة الكمبيوتر ذات اللوحة الواحدة مثل Raspberry Pi وتم العثور على جميع الأجهزة عرضة لهجمات BIAS.‬

أخيرًا قالت Bluetooth SIG إنها تقوم بتحديث مواصفات Bluetooth Core “لتجنب تقليل الاتصالات الآمنة للتشفير القديم” والتي تتيح للمهاجم بدء “تبديل دور العبد الرئيسي لوضع نفسه في الدور الرئيسي ويصبح بادئ المصادقة.”‬

بالإضافة إلى حث الشركات على تطبيق التصحيحات اللازمة توصي المؤسسة مستخدمي البلوتوث بتثبيت آخر التحديثات من مصنعي الجهاز ونظام التشغيل.‬

عن فدوى

شاهد أيضاً

تحديث تيليجرام يجلب محرر الفيديو والملصقات المتحركة على الصور

‫‫أعلنت الشبكة الاجتماعية تيليجرام رسميًا عن إطلاق تحديث جديد لتطبيقها على نظامي تشغيل أندرويد و …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *