Um grupo de pesquisadores de segurança da informação publicou informações detalhadas sobre 16 vulnerabilidades no protocolo Bluetooth. Os bugs identificados afetam bilhões de dispositivos que usam sistemas de chip único (SoCs) de vários fabricantes. As vulnerabilidades, que se tornaram conhecidas coletivamente como BrakTooth, podem ser exploradas por cibercriminosos para uma variedade de propósitos, incluindo a execução de código arbitrário e interceptação do controle de um dispositivo.

Imagem: o recorde

O estudo testou bibliotecas de software Bluetooth para 13 SoCs de 11 fabricantes. No entanto, pesquisas subsequentes mostraram que o problema é muito maior, pois o mesmo firmware Bluetooth é usado em conjunto com mais de 1400 chips, que são a base de uma ampla gama de dispositivos, incluindo smartphones, tablets, laptops, diversos equipamentos industriais e dispositivos IoT .

O número de dispositivos afetados pelas vulnerabilidades é estimado em bilhões, mas o impacto varia dependendo do SoC e do firmware Bluetooth usado. A vulnerabilidade mais perigosa é o CVE-2021-28139, cuja exploração permite que os invasores realizem a execução remota de código por meio de pacotes LMP Bluetooth. A vulnerabilidade afeta dispositivos inteligentes e equipamentos industriais baseados em microcontroladores Espressif Systems ESP32, bem como outros dispositivos de várias categorias.

Imagem: o recorde

Outras vulnerabilidades são menos perigosas, mas todas afetam um grande número de dispositivos. O uso de um deles causará o mau funcionamento do Bluetooth em smartphones e laptops. O problema diz respeito a laptops Microsoft Surface, computadores Dell e smartphones de diferentes fabricantes baseados em chips Qualcomm. Outra vulnerabilidade pode ser usada para causar mau funcionamento do dispositivo que força o usuário a reiniciar.

Imagem: o recorde

Após a conclusão do trabalho, os pesquisadores notificaram todos os fabricantes das deficiências identificadas. Apesar do fato de que mais de 90 dias se passaram desde então, nem todos os fornecedores lançaram os patches apropriados para corrigir os erros. Espressif Systems, Infineon e Bluetrun lançaram correções, enquanto a Texas Instruments disse que não vai consertar as falhas. Outros fornecedores relataram que precisam de mais tempo para fazer sua própria investigação e desenvolvimento de patch.

avalanche

Postagens recentes

A Netflix Coreia vazou a data de lançamento de Cyberpunk: Edgerunners 2.

Assim que a gigante do streaming Netflix confirmou a data de lançamento da série de…

5 horas atrás

Contrariando a tendência: a Amazon aumentou em um terço a capacidade de RAM do seu tablet Fire HD 10.

O Fire HD 8, lançado em 2024, é a mais recente adição à linha de…

6 horas atrás

A Valve publicou instruções para criar um painel com tela E Ink para a Steam Machine.

A Valve liberou os arquivos do projeto Inkterface — um painel frontal faça-você-mesmo com tela…

6 horas atrás

Os desenvolvedores de Ghostrunner adorariam trabalhar em Ghostrunner 3, mas há um porém.

Em vez de um possível Ghostrunner 3, os desenvolvedores do estúdio polonês One More Level…

7 horas atrás

A Anthropic quer se tornar uma empresa farmacêutica – os medicamentos serão desenvolvidos por IA.

No evento "The Briefing: AI for Science", a Anthropic anunciou o Claude Science, um novo…

8 horas atrás