Portál Bleeping Computer informoval o vážnych bezpečnostných chybách v zariadeniach Bluetooth, ktoré vystavili milióny používateľov riziku odpočúvania a straty údajov. Bezpečnostní experti zo spoločnosti ERNW objavili zraniteľnosti týkajúce sa čipovej sady Bluetooth používanej v populárnych audio produktoch, ktoré umožňovali hackerom nielen počuť to, čo používatelia počúvajú, ale aj ovládať mobilné telefóny pripojené k zraniteľným zariadeniam.
Zariadenia od svetoznámych značiek vystavené riziku
Výskumníci potvrdili, že chyby sa nachádzajú vo vybraných audio produktoch desiatich popredných výrobcov, konkrétne Sony, Marshall, Bose, JBL, Beyerdynamic, Jabra, Teufel, Jlab, MoerLabs a EarisMax. Zraniteľnosti boli identifikované v celkovo 29 konkrétnych modeloch, ktoré zahŕňajú populárne reproduktory, slúchadlá do uší a bezdrôtové mikrofóny. Používatelia týchto produktov patria medzi najviac ohrozených.
Napriek závažnosti situácie odborníci uviedli, že nie každé zariadenie s Bluetooth technológiou je automaticky ohrozené. Zraniteľnosti sa týkajú len modelov s uvedenou čipovou sadou, avšak zoznam postihnutých produktov zahŕňa viaceré z najrozšírenejších audio modelov na trhu.
Odpočúvanie a krádeže údajov prostredníctvom Bluetooth
Zraniteľnosti umožňovali hackerom získať prístup k súkromným konverzáciám používateľov. Výskumníci prostredníctvom vlastného overovacieho kódu úspešne extrahovali prehrávaný audio obsah zo zraniteľných zariadení. Útočník mohol touto metódou počúvať telefonické hovory, podcasty či hudbu, ktorú používatelia práve prijímali cez Bluetooth slúchadlá.
Navyše hackeri mohli zneužiť Bluetooth Hands-Free Profile (HFP) na ovládnutie telefónov obetí cez pripojené audio zariadenie. Bezpečnostní analytici demonštrovali, že útočník bol schopný získať prístup k histórii hovorov a kontaktom používateľa. Dokázali tiež iniciovať telefonické hovory na ľubovoľné čísla a počúvať živé rozhovory v okolí zariadenia bez fyzického prístupu k mobilu používateľa.
Ohrozenie je vysoké, no riešenie už prichádza
Zistené boli celkom tri rôzne chyby, pričom ich úspešné zneužitie si vyžaduje vysoké technické schopnosti a zároveň blízkosť útočníka k cieľovému zariadeniu. Bezpečnostní experti poukazujú na to, že samotná zložitosť útoku značne obmedzuje pravdepodobnosť masového zneužitia.
Spoločnosti, ktorých produkty sú postihnuté, však okamžite začali pracovať na aktualizáciách firmvéru, ktoré majú tieto problémy odstrániť. Už teraz je časť aktualizácií dostupná, a bezpečnostní experti dôrazne odporúčajú všetkým používateľom dotknutých audio zariadení, aby si ihneď skontrolovali dostupnosť softvérových aktualizácií a nainštalovali ich. Aktualizácie by mali zabezpečiť ochranu pred potenciálnymi pokusmi o odpočúvanie a iné zneužitie.
