︿
Top

11家廠商SoC產品的藍牙堆疊含嚴重資安漏洞

瀏覽次數:7749| 歡迎推文: facebook twitter wechat Linked

科技產業資訊室 (iKnow) - May 發表於 2021年9月10日
facebook twitter wechat twitter

圖、11家廠商SoC產品的藍牙堆疊含嚴重資安漏洞
 
近日,資安研究專家發現11家廠商新推出單晶片系統(System-on-a-chip, SoC),其內部的藍牙連線堆疊存在非常嚴重的資安漏洞(BrakTooth),可導致駭客藉以發動多種資安攻擊行動,甚至在最壞的情況下執行惡意代碼並接管整個系統。
 
報告公布生產SoC產品含資安漏洞廠商,包括 Intel、Texas Instruments、Qualcomm、Zhuhai Jieli Technology、Cypress、Bluetrum Technology、Actions Technology、Espressif Systems、Harman International、Silabs等公司推出的共十三種SoC產品。
 
研究人員表示,在他們測試11家供應商的13個 SoC晶片組藍牙軟體庫,可能導致數10億設備藍牙連線受到新的 BrakTooth漏洞影響。這些藍牙可能使用在1400多個晶片組中,例如筆記型電腦、智慧手機、工業設備和許多類型的智慧“物聯網”設備。
 
BrakTooth嚴重影響程度因設備而異

據調查結果,最糟糕的漏洞部分是CVE-2021-28139,它允許遠程攻擊者通過藍牙LMP數據包在易受攻擊的設備上運行自己的惡意代碼。
 
根據研究團隊的說法,CVE-2021-28139會影響構建在Espressif Systems ESP32 SoC上的智能設備和工業設備,但該問題肯定會影響其他1400種商業產品中的許多產品,其中一些肯定會重複使用相同的藍牙軟體堆疊產品。
 
其他BrakTooth問題不那麼嚴重,但仍然很煩人。例如,有幾個漏洞可用於通過使用格式錯誤的藍牙LMP(鏈接管理器協議)數據包淹沒設備來使智慧手機和筆記型電腦上的藍牙服務崩潰。
 
易受這些攻擊的有Microsoft Surface筆電、戴爾桌式PC和幾款基於高通的智慧手機型號。研究小組表示,所有的BrakTooth攻擊都使用價格低於15美元的藍牙設備進行。研究團隊測試的13款SoC晶片組,總共發現了16個漏洞。
 
研究人員發布資安漏洞並通知所有11家供應商,但到目前為止,只有樂鑫、英飛凌(前賽普拉斯)和Bluetrum發布了補丁(patches),而德州儀器表示他們不會解決影響其晶片組的缺陷。
 
而負責制定藍牙標準的藍牙小組表示,無法向供應商施加壓力,因為這些問題無關乎藍牙標準本身,而是供應商自己要去解決改善。(706字;圖1)
 
 
參考資料:
Billions of devices impacted by new BrakTooth Bluetooth vulnerabilities. The Record, 2021/9/1.


相關文章:
1. 行政院2022年編列5164萬資安預算 成立兩大國家級資安實驗室
2. 網路安全產業吸引新創投資 2021年已誕生9家獨角獸
3. Check Point:三重勒索、供應鏈攻擊及遠端網路攻擊持續增加
4. 5G企業專網在資安迷思與四個關鍵影響因素
5. 白宮召開資安高峰會 各產業領袖承諾投入強化資安
6. 趨勢科技:全球80%企業在未來一年內可能發生客戶資料外洩事件

 
歡迎來粉絲團按讚!
--------------------------------------------------------------------------------------------------------------------------------------------
【聲明】
1.科技產業資訊室刊載此文不代表同意其說法或描述,僅為提供更多訊息,也不構成任何投資建議。
2.著作權所有,非經本網站書面授權同意不得將本文以任何形式修改、複製、儲存、傳播或轉載,本中心保留一切法律追訴權利。