В последние годы было немало новостей относительно уязвимостей в системе безопасности стандарта связи Bluetooth. Недавно специалисты по информационной безопасности нашли очередной набор уязвимостей. Из-за них могут происходить сбои, зависания или получение контроля над миллиардами устройств со стороны злоумышленников. В данном случае виноват не сам стандарт Bluetooth. Всё дело в плохо реализованных прошивках устройств, которые могут быть никогда не исправлены.

Специалисты из Сингапурского университета технологий и дизайна опубликовали доклад об уязвимостях программных стеков Bluetooth в нескольких коммерчески доступных продуктах. В сумме 16 уязвимостей получили название BrakTooth. Они открывают дверь перед атаками на миллиарды устройств по всему миру. Эти устройства работают на чипах таких известных производителей, как Intel, Infineon (Cypress), Silicon Labs, Qualcomm и не только.

Существует как минимум 1400 устройств с одной или несколькими уязвимостями. В их число входят Microsoft Surface Book 3, Surface Laptop 3, Surface Pro 7, Surface Go 2, несколько компьютеров Dell Optiplex и ноутбуков Alienware, немало ультрабуков Asus и HP, смартфоны Xperia XZ2, Oppo Reno 5G и Pocophone F1. Затронуты также промышленные системы интернета вещей на чипах Espressif Systems ESP32 и Qualcomm CSR8811, беспроводные аксессуары для компьютеров и смартфонов, устройства умного дома и автомобильные системы.

Некоторые производители не собираются выпускать исправления для своих устройств, поскольку сделать это затруднительно. Разные уязвимости имеют разную степень угрозы. Хуже всего CVE-2021-28139, которая позволяет запускать произвольный код на уязвимом устройстве. Некоторые уязвимости позволяют только атаку «отказ в обслуживании». Это может привести к исчезновению подключения Bluetooth, но обычно решается перезагрузкой.

От пользователей мало что зависит. Остаётся разве что выключать Bluetooth, когда вы им не пользуетесь, и устанавливать все появляющиеся на устройствах обновления безопасности.