На прошлой неделе двое израильских экспертов по информационной безопасности представили IT-сообществу доклад об уязвимых местах, выявленных в популярной беспроводной технологии Bluetooth. Хотя случаев взлома Bluetooth-систем пока не было, ненадежность их защиты всерьез беспокоит участников рынка.
Уязвимость в защите Bluetooth обнаруживалась и раньше, и производители оборудования достаточно оперативно их устраняли. На этот раз речь идет о новом типе бреши. Дело в том, что для инициализации беспроводного соединения между двумя устройствами (например, между беспроводной гарнитурой и сотовым телефоном) каждое из устройств должно знать специальный секретный код и особую последовательность цифр, сгенерированную случайным образом. Однако большинство крупных производителей головных гарнитур, включая Motorola, Nokia, Logitech International и Jabra, подразделение GN Store Nord, “зашивают” в свои продукты один и тот же код — 0000, изменить который пользователи не могут.
Злоумышленнику, знающему эту особенность, для получения незаконного доступа к чужой коммуникации остается только подобрать случайную цифровую последовательность. Вул и Шакед говорят о возможности создания аппарата, который бы посылал Bluetooth-устройствам сигнал, вызывающий прерывание связи. После этого пользователю необходимо заново ввести защитный код, на основе которого будет создана новая случайная последовательность, а ее уже может перехватить злоумышленник.
Многие Bluetooth-устройства, в частности карманные компьютеры, позволяют пользователям вводить с клавиатуры их секретные коды. Чем длиннее цифровая последовательность, тем более надежной считается защита. Но, поскольку производители оборудования предусматривают возможность использовать последовательность всего из четырех цифр, хакер с помощью компьютера может за несколько секунд выявить чужой код с помощью простого перебора нескольких тысяч возможных комбинаций. Вооружившись компьютером и специальным радиоприемником, такой хакер может на расстоянии нескольких десятков метров от действующих Bluetooth-устройств перехватывать обмен данными между ними.
Начать дискуссию