Phát hiện lỗ hổng mới trong giao thức không dây bluetooth
Mới đây, các nhà nghiên cứu đã tiết lộ một lỗ hổng mới trong giao thức không dây Bluetooth, hiện đang được sử dụng rộng rãi để kết nối các thiết bị hiện đại như smartphone, máy tính bảng, máy tính xách tay và thiết bị IoT thông minh.
Lỗ hổng này có tên là BIAS (Bluetooth Impersonation AttackS), tạm dịch là các cuộc tấn công giả danh Bluetooth, nó nhằm vào các thiết bị có kết nối Bluetooth và các phần cứng từ Apple, Broadcom, Cypress, Intel, Samsung và các công ty khác.
Lỗ hổng bảo mật BIAS nằm ở cách các thiết bị xử lý khóa kết nối, còn được gọi là khóa kết nối dài hạn. Khóa này được tạo khi hai cặp thiết bị Bluetooth kết nối với nhau lần đầu tiên. Chúng đồng ý về một khóa kết nối dài hạn mà chúng sử dụng phục vụ cho các phiên kết nối trong tương lai mà không phải buộc chủ sở hữu thiết bị phải trải qua quá trình ghép nối dài dòng mỗi khi các thiết bị Bluetooth cần kết nối với nhau.
Phát hiện lỗ hổng mới trong giao thức không dây bluetooth
Các nhà nghiên cứu cho biết, họ đã tìm thấy một lỗ hổng trong quá trình xác thực sau liên kết này. Lỗ hổng có thể cho phép kẻ tấn công giả mạo danh tính của thiết bị đã được kết nối trước đó và xác thực thành công và kết nối với thiết bị khác mà không cần biết khóa kết nối dài hạn đã được thiết lập trước đó giữa hai thiết bị.
Khi một cuộc tấn công BIAS thành công, kẻ tấn công có thể truy cập hoặc kiểm soát một thiết bị bluetooth khác.
Video đang HOT
Nhóm nghiên cứu cho biết họ đã thử nghiệm cuộc tấn công vào một loạt các thiết bị, bao gồm điện thoại thông minh (iPhone, Samsung, Google, Nokia, LG, Motorola), máy tính bảng (iPad), máy tính xách tay (MacBook, HP Lenovo), tai nghe (Philips, Sennheiser) và các chip (Raspberry Pi, Cypress).
Các nhà nghiên cứu cho biết thêm: “Tại thời điểm viết bài, chúng tôi đã có thể kiểm tra các chip Bluetooth từ các công ty Cypress, Qualcomm, Apple, Intel, Samsung và CSR. Tất cả các thiết bị mà chúng tôi đã kiểm tra đều dễ bị tấn công bởi BIAS. Vì cuộc tấn công này ảnh hưởng cơ bản đến tất cả các thiết bị có kết nối Bluetooth nên chúng tôi đã thông báo với Nhóm lợi ích đặc biệt Bluetooth (Bluetooth SIG), là tổ chức tiêu chuẩn giám sát sự phát triển của các tiêu chuẩn Bluetooth vào tháng 12 năm 2019 để đảm bảo rằng các giải pháp khắc phục có thể được đưa ra”.
Liên quan đến vấn đề này, tổ chức Bluetooth SIG cho biết họ đã cập nhật thông số kỹ thuật cho Bluetooth để ngăn kẻ tấn công BIAS.
Bên cạnh đó, các nhà cung cấp thiết bị Bluetooth dự kiến sẽ tung ra các bản cập nhật firmware trong những tháng tới để khắc phục sự cố. Tình trạng và tính khả dụng của các cập nhật này hiện chưa rõ ràng, ngay cả đối với nhóm nghiên cứu.
Nhóm nghiên cứu đã phát hiện ra vụ tấn công BIAS bao gồm Daniele Antonioli từ Viện Công nghệ Liên bang Thụy Sĩ tại Lausanne, Kasper Rasmussen từ Trung tâm An ninh Thông tin CISPA Helmholtz ở Đức và Nils Ole Tippenhauer từ Đại học Oxford, Anh.
Họ cũng là những người trong nhóm đã phát hiện và tiết lộ cuộc tấn công KNOB (cuộc tấn công đàm phán khóa của Bluetooth) vào mùa hè năm 2019.
Nhóm nghiên cứu cho biết, nếu kẻ tấn công kết hợp BIAS và KNOB, chúng có thể phá vỡ xác thực ngay cả trên các thiết bị Bluetooth Classic chạy ở chế độ xác thực an toàn.
Do đó, các thiết bị có chức năng kết nối Bluetooth phải nhận được các bản vá chống lại các cuộc tấn công BIAS (CVE-2020-10135) và KNOB (CVE-2019-9506) để được bảo mật hoàn toàn.
Windows 10 sẽ sớm được trang bị một trong những tính năng thú vị nhất của... Windows 7
Chính là khả năng stream nhạc từ điện thoại sang loa của máy tính.
Bản cập nhật Windows 10 May 2020 sẽ mang tính năng truyền tải nhạc từ điện thoại sang máy tính thông qua Bluetooth trở lại với người dùng Windows.
Nói cách khác, bạn sẽ có thể kết nối một thiết bị di động với máy tính thông qua Bluetooth, và sau đó stream nhạc từ thiết bị di động đó lên máy tính để phát nhạc từ loa của chính máy tính.
Tính năng mang tên "Bluetooth A2DP Sink" ("sink", không phải "sync" như nhiều người lầm tưởng) này từng xuất hiện trên Windows 7, nhưng đã bị Microsoft "bỏ quên" khi phát triển Windows 8, và tiếp tục vắng mặt trên Windows 10.
Trên thực tế, Windows 10 có tính năng Bluetooth A2DP, nhưng chỉ cho phép người dùng sử dụng vai trò "source" (nguồn) - tức bạn chỉ có thể gửi âm thanh từ một máy tính Windows 10 đến một thiết bị di động - chứ không phải vai trò "sink", tức cho phép máy tính Windows 10 nhận âm thanh từ một thiết bị di động thông qua Bluetooth.
Nếu bạn từng yêu thích tính năng này trên Windows 7, thì tin vui là Microsoft được cho là đang dự định mang tính năng "sink" trở lại với bản cập nhật May 2020 sắp tới.
Bluetooth A2DP Sink trên Windows 7
Cụ thể, thông tin này được tiết lộ trong một tài liệu hỗ trợ do chính Microsoft viết ra, và được phát hiện bởi trang Windows Latest. Theo đó, Microsoft nói rằng: "Bắt đầu với Windows 10, phiên bản 2004 (May 2020), các nguồn âm thanh từ xa sẽ có thể stream âm thanh đến các thiết bị Windows, hữu ích trong các trường hợp như thiết lập máy tính đóng vai trò loa Bluetooth và cho phép người dùng nghe âm thanh từ điện thoại của họ".
Như vậy, bạn sẽ có thể nghe nhạc từ điện thoại trên loa máy tính, hoặc từ headphone đang kết nối với máy tính, và Microsoft nói rõ rằng chức năng "Bluetooth A2DP Sink" sẽ được quản lý theo từng ứng dụng thay vì thông qua các thiết lập hệ thống.
Bản cập nhật Windows 10 May 2020 dự kiến sẽ ra mắt vào cuối tháng 5 này, nhiều khả năng vào ngày 28/5 hoặc một vài ngày trước đó, và đi kèm với nó là khá nhiều thay đổi, bao gồm những thay đổi lớn với Cortana, tính năng Cloud Download cho phép reset hệ điều hành trở về trạng thái mặc định thông qua một quy trình dễ dàng hơn, và nhiều thứ khác nữa.
Ôtô cũ có thể làm lộ dữ liệu cá nhân Dữ liệu cá nhân, gồm vị trí, hành trình, mật khẩu Wi-Fi do xe hơi thu thập có thể bị phát tán nếu người dùng không xóa trước khi bán xe. Theo InsideEvs, một nhà nghiên cứu bảo mật và hacker mũ trắng có biệt danh "GreenTheOnly", đã tìm thấy hàng loạt dữ liệu người dùng xe Tesla cũ được bán trên eBay....