Milyonlarca kablosuz kulaklık ve kulaklık hâlâ belirli siber saldırılara karşı savunmasız durumda. Üç kritik güvenlik açığının açığa çıkmasından altı ay sonra, tüm markalar cihazlarına yama uygulamadı.
Üç güvenlik açığı keşfedildi Airoha Bluetooth çipleriKablosuz kulaklıklar ve kulak içi kulaklıklar için lider bileşen tedarikçisi. Etkilenen çipler, Sony, JBL, Marshall, Bose, Jabra, Beyerdynamic, JLab, Teufel, Earis/EarisMax ve MoerLabs gibi amiral gemisi markalar tarafından satılan aksesuarlarda yaygın olarak kullanılıyor.
Savunmasız ürünler arasında özellikle WH-1000XM5, WF-1000XM5, Jabra Elite 8 Active, JBL Endurance Race 2 / Live Buds 3, Bose QuietComfort, Marshall Major V ve hatta Beyerdynamic Amiron 300'ü görüyoruz. Piyasada bulunan yaklaşık 30 referans etkilendi. Airoha kendini kanıtladı Bluetooth ses yongalarının önde gelen tedarikçilerinden biridünya çapında on milyonlarca devre sevk edildi. Aslında kusurlar potansiyel olarak büyük miktarda ürünü etkiliyor. Test etmenin imkansız olduğunu unutmayın “potansiyel olarak savunmasız tüm cihazlar”ERNW araştırmacılarına keşfin kökenini açıklayın.
Ayrıca okuyun: 4 Bluetooth kusuru milyonlarca Mercedes, Volkswagen ve Skoda arabasını etkiliyor
Bluetooth cihazları çerezlere dönüştürüldü
Bir siber suçlu tarafından kullanılan kusurlar şunları mümkün kılabilir: akıllı telefonunuzun kontrolünü elinize alın. Saldırı iki aşamada gerçekleşebilir. Saldırgan öncelikle kulaklığı veya Bluetooth kulaklığı alır. Bu kablosuz aksesuarlara bağlanmak için eşleştirme aşamasından geçmenize veya herhangi bir kod girmenize gerek yoktur. Yalnızca hedeflenen cihazın algılama aralığında olmalıdır. Bu ilk adımı tamamlamak için belirlenen kusurlardan ikisinden yararlanılabilir.
Daha sonra, hâlâ Airoha çiplerinin güvenlik açıklarına güvenerek bağlı telefona geçiyor. Somut olarak ele geçirir kriptografik bağlama anahtarı karşılıklı kimlik doğrulama için kulaklık ve akıllı telefon arasında kullanılır. İlk eşleştirme sırasında oluşturulan anahtar, tüm eşleştirme sürecini tekrarlamak zorunda kalmadan iki cihazın birbirini tanımasını sağlar. Anahtar ile saldırgan, Bluetooth kulaklık veya kulaklık dışında bir cihaz üzerinden dahi akıllı telefona bağlanabiliyor. Telefon aldatmanın farkına varmaz. Saldırgan daha sonra kişi veya çağrı listeleri gibi bilgileri çalabilir veya telefon çağrılarını ele geçirebilir.
Bilgisayar korsanı ayrıca Siri'yi veya Google Asistan'ı mesaj göndermek, arama yapmak, uygulamaları açmak veya tüm konuşmalarınızı mikrofon aracılığıyla dinlemek için tetikleyebilir. Kısacası becerikli bir bilgisayar korsanı, Bluetooth cihazlarınızı ve akıllı telefonunuzu dönüştürebilir gerçek muhbirler olarak. Raporun açıkladığı gibi güvenlik açıkları birden fazla saldırı vektörüne dayanıyor. Araştırmacılar ayrıca üç güvenlik açığından yararlanılarak bir WhatsApp hesabının tehlikeye atılmasının mümkün olduğunu da göstermeyi başardılar.
Ayrıca şunu da okuyun: Bluetooth siber saldırıları – akıllı telefonlar, PC'ler ve kablosuz kulaklıklar nasıl korunur?
Henüz tam olarak giderilmemiş kusurlar
Güvenlik kusurları geçen Haziran ayında ERNW araştırmacıları tarafından açıklandı. Uzmanlar, şirketlere düzeltmeleri uygulamaya koymaları için zaman tanımak amacıyla ihlalleri kamuya açık bir şekilde tartışmadan önce birkaç ay bekledi. Açıklamadan altı ay sonra, birçok cihaz hâlâ savunmasız durumda. Etkilenen şirketlerin tümü aksesuarlarında bir düzeltme yapma zahmetine girmedi. Jabra, Marshall ve Beyerdynamic güncellemeleri hemen yayınlayan markalar arasında yer alıyor. Bunlar arasında Haziran ayında yayınlanan Airoha SDK'daki düzeltmeler de yer alıyor.
“Bazı satıcılar ürün yazılımı güncellemelerinde sorunların çözüldüğünü belirtiyor. Bazıları yama işlemini sessizce gerçekleştirmiş olabilir, bazıları ise güvenlik açığını hiç yamamamış olabilir.araştırmacılara yazık.
İçinde “Potansiyel olarak hala etkilenen çok sayıda cihaz nedeniyle mevcut yama durumuna ilişkin net bir genel bakış mevcut değil”ERNW'nin altını çiziyor. Milyonlarca Bluetooth cihazının hâlâ savunmasız olduğu tahmin ediliyor. Buna yanıt olarak siber güvenlik araştırmacıları işletmeler üzerinde baskı oluşturmak Hangi cihazların savunmasız olduğunu belirlemeye yardımcı olan açık kaynaklı bir araçla birlikte güvenlik açıklarının teknik ayrıntılarını yayınlayarak.
Bu manevranın tüm üreticileri harekete geçmeye teşvik edeceğine bahse girebiliriz. Bu arada eşleştirilmiş Bluetooth cihazlarınızı temizlemenizi öneririz. Telefonunuzun ayarlarında, artık kullanmadığınız kulaklık veya kulaklıkların yanı sıra listede kalan eski modelleri de silin. Bilinen aksesuarlar ne kadar az olursa, bir saldırgan tarafından ele geçirilebilecek ve potansiyel olarak ele geçirilebilecek güven anahtarları da o kadar az olur. Ayrıca günlük olarak birkaç basit refleksi benimsemenizi öneririz. Kullanmadığınız zamanlarda, özellikle de tren istasyonları veya havaalanları gibi halka açık kalabalık yerlerde Bluetooth'u kapatın. Her şeyden önce kulaklığınızı gereğinden uzun süre açık eşleştirme modunda bırakmaktan kaçının.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın