image

VS roept leveranciers op om BrakTooth bluetooth-kwetsbaarheden te patchen

vrijdag 5 november 2021, 12:47 door Redactie, 5 reacties

Fabrikanten, leveranciers en ontwikkelaars doen er verstandig aan om BrakTooth bluetooth-kwetsbaarheden in hun producten te patchen, aangezien proof-of-concept exploits online zijn verschenen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

In september waarschuwden onderzoekers voor zestien nieuwe bluetooth-kwetsbaarheden genaamd BrakTooth waardoor aanvallers via bluetooth een denial of service kunnen veroorzaken en in bepaalde gevallen ook willekeurige code op apparaten kunnen uitvoeren. Meer dan veertienhonderd producten zouden kwetsbaar voor BrakTooth zijn, hoewel sommige van de bluetooth-lekken inmiddels zijn gepatcht.

Door het versturen van speciaal geprepareerde bluetooth-pakketjes is het mogelijk om bijvoorbeeld bluetooth-apparaten vast te laten lopen of te laten crashen. De BrakTooth-lekken bevinden zich de bluetooth-libraries van een groot aantal bluetooth-chips van onder andere Intel, Qualcomm en Texas Instruments. De kwetsbare chips worden in allerlei apparaten gebruikt, waaronder laptops van Microsoft en Dell, smartphones van Sony en Oppo en allerlei andere bluetooth-apparaten.

Aangezien nog niet alle fabrikanten beveiligingsupdates hebben uitgebracht besloten de onderzoekers een proof-of-concept tool pas eind oktober openbaar maken. Deze tool is nu online verschijnen, wat aanleiding voor het CISA is om fabrikanten en leveranciers nogmaals te waarschuwen hun producten te patchen of andere workarounds toe te te passen.

Reacties (5)
05-11-2021, 14:16 door Anoniem
Braktooth? Nou, dat krijgt in NL geen voet aan de grond met die baam.
Brakke bende...
06-11-2021, 12:34 door Anoniem
Waarom staat deze tool eigenlijk online?
Kan een overheid niet ingrijpen en deze crimineel in het gevang zetten!
06-11-2021, 21:28 door _Martin_
Door Anoniem: Waarom staat deze tool eigenlijk online?
Kan een overheid niet ingrijpen en deze crimineel in het gevang zetten!
Op basis van welk "crimineel" gedrag zou je dat willen doen? Het zijn onderzoekers die kwetsbaarheden hebben gevonden. Het direct publiceren van de details zou niet zo chic zijn geweest, maar in dit geval zijn de details pas na 2 maanden onthuld. Het zou goed zijn als de kwetsbaarheden worden opgelost en wellicht is de publicatie van de details het extra zetje dat nodig is om de problemen aan te pakken.

Zolang je bluetooth niet standaard aan hebt staan, zal de impact beperkt zijn. Je moet dan net op het "juiste" moment een hacker tegenkomen die deze exploit misbruikt.
07-11-2021, 16:57 door Anoniem
Leuk met al die fitness bandjes (smart watches etc.) waardoor mensen hun BT constant aan hebben.
09-11-2021, 10:29 door Anoniem
Door Anoniem: Waarom staat deze tool eigenlijk online?
Kan een overheid niet ingrijpen en deze crimineel in het gevang zetten!

Ja, welkom in de wereld van de censuur. Laat dit soort tools vooral ondergronds circuleren, dan kan jij net doen alsof er niets aan de hand is!

Ooit gehoord responsible disclosure met openbaarmaking van de tooling?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.