fizkes / Shutterstock Bluetooth נמצא בכל מקום, וכך גם פגמי האבטחה שלו. אבל עד כמה הסיכון גדול? עד כמה אתה צריך להיות מודאג לגבי Bluejacking, Bluesnarfing או Bluebugging? הנה מה שאתה צריך לדעת כדי להגן על המכשירים שלך.
פגיעויות בלוטות '
במבט ראשון, זה אולי נראה כאילו זה די מסוכן להשתמש ב- Bluetooth. בכנס האבטחה האחרון של DEF CON 27, למשתתפים הומלץ להשבית את Bluetooth במכשירים שלהם בזמן שהם היו שם. כמובן, הגיוני שתרצה להקפיד יותר על אבטחת המכשיר שלך אם אתה מוקף באלפי האקרים במקום די קטן.
גם אם אינך משתתף בכנס האקרים, יש סיבות חוקיות לדאגה - פשוט קרא את החדשות. א פגיעות במפרט Bluetooth נחשף לאחרונה. זה מאפשר להאקרים לגשת למכשיר ה- Bluetooth שלך באמצעות טכניקה שנקראת מפתח משא ומתן של Bluetooth (KNOB). לשם כך, האקר סמוך מכריח את המכשיר שלך להשתמש בהצפנה חלשה יותר כאשר הוא מתחבר, מה שמקל עליו לפצח אותו.
נשמע מסובך? זה סוג של כן. כדי ש- KNOB ינצל לעבוד, ההאקר צריך להיות קרוב אליך פיזית כשאתה מחבר את שני התקני ה- Bluetooth שלך. ויש לו רק חלון זמן קצר ליירט את לחיצת היד ולאלץ שיטת הצפנה אחרת. לאחר מכן על ההאקר לאלץ את הסיסמה - אולם זה כנראה די קל מכיוון שמפתח ההצפנה החדש יכול להיות קצר באורך של ביט אחד.
שקול גם את פגיעות שנחשפה על ידי חוקרים מאוניברסיטת בוסטון . התקני Bluetooth מחוברים, כמו אוזניות ורמקולים, משדרים את זהותם באופן מפתיע. אם אתה משתמש במכשיר כזה, ניתן לעקוב אחריך כל עוד הוא פועל.
שתי הפגיעות הללו צצו בחודש האחרון, ואתה רק צריך לגלול שנה אחורה כדי למצוא אַחֵר . בקיצור, אם האקר נמצא בקרבת מקום ושולח מפתח ציבורי לא חוקי למכשיר ה- Bluetooth שלך, סביר מאוד שהיא תוכל לקבוע את מפתח ההפעלה הנוכחי שלך. ברגע שזה נעשה, ההאקר יכול ליירט ולפענח את כל הנתונים שעוברים בין מכשירי ה- Bluetooth בקלות. גרוע מכך, היא יכולה גם להזריק הודעות זדוניות במכשיר.
ונוכל להמשיך. ישנן עדויות רבות לכך ש- Bluetooth כמעט מאובטח כמו מנעול מפוסל מפסטה fusilli.
זה בדרך כלל תקלה של היצרן
אם כבר מדברים על מנעולי fusilli, לא המעללים במפרט בלוטוס הם האשמים. יצרני מכשירי בלוטות 'נושאים באחריות משמעותית להרכבת נקודות התורפה של בלוטות'. סם קווין, חוקר אבטחה עם McAfee Advanced Threat Research, סיפר ל- How-to Geek על פגיעות שגילה למנעול חכם Bluetooth:
"הם יישמו את זה ללא צורך בזיווג. גילינו שאם תשלח אליו ערך מסוים, הוא פשוט ייפתח ללא צורך בשם משתמש או סיסמה, באמצעות מצב אנרגיה נמוכה ב- Bluetooth שנקרא 'Just Works'. "
עם Just Works, כל מכשיר יכול להתחבר באופן מיידי, להנפיק פקודות ולקרוא נתונים ללא כל אימות אחר. זה אמנם שימושי במצבים מסוימים, אך זו לא הדרך הטובה ביותר לעצב מנעול.
"הרבה נקודות תורפה נכנסות לפעולה מצד יצרן שלא מבין את הדרך הטובה ביותר ליישם אבטחה עבור המכשיר שלהם," אמר קווין.
טיילר מופיט, אנליסט בכיר במחקר האיומים ב- Webroot, הסכים שזו בעיה:
"כל כך הרבה מכשירים נוצרים באמצעות Bluetooth, ואין אפס רגולציה או הנחיות לגבי האופן שבו ספקים צריכים ליישם אבטחה. יש הרבה ספקים שמייצרים אוזניות, שעונים חכמים, כל מיני מכשירים - ואנחנו לא יודעים איזה סוג אבטחה יש להם מובנה. "
מופיט מתאר צעצוע חכם המחובר לענן שהוא העריך פעם שיכול להפעיל הודעות שמע המאוחסנות בענן. "זה תוכנן עבור אנשים שמטיילים הרבה ומשפחות צבאיות, כדי שיוכלו להעלות הודעות לילדים שישמעו על הצעצוע."
למרבה הצער, אתה יכול גם להתחבר לצעצוע באמצעות Bluetooth. היא לא השתמשה באימות כלשהו, כך ששחקן זדוני יכול לעמוד בחוץ ולהקליט כל דבר אליו.
מופיט רואה בשוק המכשירים הרגישים לבעיה. ספקים רבים מקצרים פינות באבטחה מכיוון שלקוחות אינם רואים או מקצים לה ערך כספי רב.
"אם אוכל להשיג את אותו הדבר כמו ה- Apple Watch בפחות ממחצית המחיר, אני אנסה את זה," אמר מופיט. "אבל המכשירים האלה הם לרוב רק מוצרים מינימליים מינימליים, המיועדים לרווחיות מקסימאלית. לעתים קרובות יש אפס בדיקות אבטחה העוסקות בעיצוב מוצרים אלה. "
הימנע ממטרדות אטרקטיביות
תורת המטרד האטרקטיבית היא היבט של דיני הנזיקין. מתחתיו, אם משהו כמו בריכה או עץ מצליח שמגדל ממתקים (ניתן ליישום רק בממלכות קסומות) מפתה את הילד להסגיר את רכושך והוא נפצע, אתה אחראי. חלק מהתכונות של Bluetooth הן כמו מטרד אטרקטיבי שמסכן את המכשיר והנתונים שלך, ואין צורך בפריצה.
לדוגמא, לטלפונים רבים יש תכונת נעילה חכמה. זה מאפשר לך להשאיר את הטלפון שלך נעול כל עוד הוא מחובר למכשיר Bluetooth מהימן ספציפי. לכן, אם אתה לובש אוזניות Bluetooth, הטלפון שלך נשאר נעול כל עוד אתה פועל. אמנם זה נוח, אבל זה הופך אותך לפגיע בפני פריצות.
"זו תכונה שאני ממליץ בכל לב לאף אחד להשתמש בה," אמר מופיט. "זה פשוט בשל להתעללות."
ישנם אינספור מצבים שבהם אתה עלול לנדוד רחוק מספיק מהטלפון שלך שאינך שולט בו, ובכל זאת הוא עדיין בטווח ה- Bluetooth. בעיקרון השארת את הטלפון שלך נעול במקום ציבורי.
ל- Windows 10 יש וריאציה של המנעול החכם שנקרא נעילה דינמית . זה נועל את המחשב שלך כאשר הטלפון שלך מחוץ לטווח Bluetooth. באופן כללי, חשבתי, זה לא קורה עד שתרחק 30 מטר משם. וגם אז, נעילה דינמית לפעמים איטית.
ישנם מכשירים אחרים המיועדים לנעילה או לפתיחה אוטומטית. זה מגניב ועתידני כאשר מנעול חכם פותח את דלת הכניסה שלך ברגע שאתה עולה על המרפסת, אבל זה גם הופך אותה לפריצה. ואם מישהו לוקח את הטלפון שלך, הוא יכול עכשיו לבוא לביתך מבלי לדעת את קוד הגישה של הטלפון שלך.
"Bluetooth 5 יוצא, ויש לו טווח תיאורטי של 800 מטר ", אומר מופיט. "זה יגביר את החששות האלה."
קָשׁוּר: Bluetooth 5.0: מה שונה ולמה זה חשוב
נקוט אמצעי זהירות סבירים
ברור שישנם סיכונים אמיתיים עם Bluetooth. אבל זה לא אומר שאתה צריך לזרוק את ה- AirPods שלך או למכור את הרמקולים הניידים שלך - הסיכון הוא למעשה נמוך. באופן כללי, כדי שהאקר יצליח, הוא צריך להיות במרחק של 300 מטרים ממך עבור מכשיר Bluetooth מסוג Class 1 או 30 מטר עבור Class 2.
הוא גם צריך להיות מתוחכם עם מטרה ספציפית למכשיר שלך. Bluejacking של מכשיר (השתלטות על שליחת הודעות למכשירי Bluetooth סמוכים אחרים), Bluesnarfing (גישה או גניבת נתונים במכשיר Bluetooth), ו- Bluebugging (שליטה מוחלטת על מכשיר Bluetooth) דורשים מעלילים ומיומנויות שונות.
ישנן דרכים קלות בהרבה להשיג את אותם הדברים. כדי לפרוץ לבית של מישהו, אתה יכול לנסות Bluebug את מנעול דלת הכניסה או פשוט לזרוק סלע דרך חלון.
"חוקר בצוות שלנו אומר שמוט הברזל הוא כלי הפריצה הטוב ביותר," אמר קווין.
אבל זה לא אומר שלא צריך לנקוט באמצעי זהירות סבירים. בראש ובראשונה, השבת תכונות נעילה חכמות בטלפון ובמחשב האישי שלך. אל תחייב אבטחה של מכשיר כלשהו לנוכחותו של מכשיר אחר באמצעות Bluetooth.
והשתמש רק במכשירים שיש להם אימות להתאמה. אם אתה רוכש מכשיר שאינו דורש קוד סיסמה - או שהסיסמה היא 0000 - החזיר אותו למוצר מאובטח יותר.
זה לא תמיד אפשרי, אך עדכן את הקושחה במכשירי ה- Bluetooth שלך אם היא זמינה. אם לא, אולי הגיע הזמן להחליף את המכשיר הזה.
"זה בערך כמו מערכת ההפעלה שלך," אמר מופיט. "אתה משתמש ב- Windows XP או Windows 7, יש לך סיכוי גדול פי שניים להידבק. כך גם במכשירי Bluetooth ישנים. "
שוב, אם אתה נוקט באמצעי זהירות מתאימים, אתה יכול להגביל במידה ניכרת את הסיכון לפריצה.
"אני אוהב לחשוב שהמכשירים הללו אינם בהכרח חסרי ביטחון," אמר קווין. "ב -20 השנים שיש לנו Bluetooth, אף אחד לא גילה את הפגיעות הזו של KNOB עד כה, ואין שום פריצות Bluetooth ידועות בעולם האמיתי."
אך הוא הוסיף: "אם מכשיר לא צריך לקיים תקשורת פתוחה, אולי אתה יכול לכבות את Bluetooth במכשיר זה. זה רק מוסיף עוד וקטור התקפה שהאקרים יכולים להשתמש בו. "
