Негизги алып салуулар
- Изилдөөчүлөр акылдуу кулпулардын кулпусун ачуу үчүн Bluetooth'дун алсыздыгын колдонушат.
- Чабуул кадимки Bluetooth коопсуздук чараларын кыйгап өтөт.
-
Эксперттердин айтымында, чабуулдун татаалдыгынан улам аны жөнөкөй кылмышкерлер колдонушу мүмкүн эмес.
Блютуздун акылдуу кулпусунун кулпусун ача турган башкы ачкыч абдан коркунучтуу угулат. Жакшы нерсе, мындай нерсени ойлоп табуу мүмкүн болсо да, анча маанилүү эмес.
Киберкоопсуздук боюнча изилдөө фирмасы, NCC Group, Bluetooth Low Energy (BLE) спецификациясынын алсыздыгын көрсөттү, аны чабуулчулар Tesla жана башка телефондордо колдонулган акылдуу кулпуларды бузуу үчүн колдонушу мүмкүн. Bluetooth негизиндеги жакындык аутентификациясына таянган негизги системалар. Бактыга жараша, эксперттердин айтымында, мындай чабуул массалык түрдө болушу мүмкүн эмес, анткени ага жетүү үчүн эбегейсиз көп техникалык эмгек талап кылынат.
"Үйүнө же унаасына жөө баруу жана эшиктин кулпусун автоматтык түрдө ачуунун ыңгайлуулугу көпчүлүк адамдар үчүн түшүнүктүү жана каалайт", - деди Токендин инженерия бөлүмүнүн башчысы Эван Крюгер Lifewire электрондук почтасы аркылуу. "Бирок туура адам же адамдар үчүн гана ачыла турган системаны куруу кыйын иш."
Bluetooth релейлик чабуулдары
Изилдөөчүлөр эксплуатацияны Bluetooth аялуулугу деп аташканы менен, алар бул программалык камсыздоонун патчтары менен оңдоого боло турган салттуу мүчүлүштүк же Bluetooth спецификациясындагы ката эмес экенин моюнга алышты. Анын ордуна, алар BLEди алгач иштелип чыкпаган максаттарда колдонуудан келип чыгат деп ырасташты.
Крюгер Bluetooth кулпуларынын көбү жакындыкка таянарын түшүндүрүп, кирүү мүмкүнчүлүгүн берүү үчүн кээ бир ачкыч же уруксат берилген түзмөк кулпудан белгилүү бир физикалык аралыкта экенин эсептейт.
Көптөгөн учурларда ачкыч кубаттуулугу аз радиосу бар объект болуп саналат жана кулпу анын канчалык жакын же алыс экенин болжолдоодо негизги фактор катары анын сигналынын күчүн колдонот. Крюгер кошумчалагандай, мындай негизги түзмөктөрдүн көбү, мисалы, унаа фобдору, дайыма эфирге чыгып турат, бирок алар угуу диапазонунда болгондо гана кулпу аркылуу "угулат".
Харман Сингх, Cyphere киберкоопсуздук кызматын провайдеринин директору, изилдөөчүлөр көрсөткөн чабуул Bluetooth релейлик чабуулу деп аталат, мында чабуулчу кулпу менен ачкычтын ортосундагы байланышты кармап туруу жана өткөрүү үчүн түзмөктү колдонот.
"Bluetooth релелик чабуулдары мүмкүн, анткени көптөгөн Bluetooth түзмөктөрү билдирүүнүн булагын туура текшербейт", - деди Сингх Lifewireге электрондук кат алмашууда.
Крюгердин ырасташынча, релейлик чабуул чабуулчуларга күчөткүчтү колдонуп, ачкычтын канчалык "катуу" уктуруусун кескин жогорулатууга окшош. Алар аны кулпуланган түзмөктү ачкыч жок болгондо жакын жерде деп ойлош үчүн колдонушат.
Мындай чабуулдагы техникалык татаалдыктын деңгээли берилген аналогиядан бир топ жогору, бирок концепция бирдей, - деди Крюгер.
Ал жерде болгонмун, ошенттим
Уилл Дорманн, CERT/CCнын аялуу маселелери боюнча талдоочусу, NCC Groupтун эксплуатациясы кызыктуу болгону менен, унааларга кирүү үчүн релейлик чабуулдар болуп көрбөгөндөй болоорун мойнуна алды.
Сингх буга чейин Bluetooth аутентификациясына каршы релейлик чабуулдар боюнча көптөгөн изилдөөлөр жана демонстрациялар болгонун белгилеп, макул болду. Булар аныктоо механизмдерин өркүндөтүү жана релелик чабуулдарды ийгиликтүү бөгөттөө үчүн шифрлөө аркылуу Bluetooth түзмөктөрүнүн ортосундагы байланышты коргоого жардам берди.
Bluetooth релелик чабуулдары мүмкүн, анткени көптөгөн bluetooth түзмөктөрү билдирүүнүн булагын туура текшербейт.
Бирок, NCC Groupтун эксплуатациясынын мааниси, ал кадимки жумшартууларды, анын ичинде шифрлөөнү айланып өтүүгө жетишет, деп түшүндүрдү Сингх. Ал кошумчалагандай, мындай чабуулдар болушу мүмкүн экенин билүүдөн тышкары, колдонуучулардын колунан эч нерсе келбей калат, анткени Bluetooth байланышы бурмалоого жол бербөө үчүн программанын артында өндүрүүчү жана сатуучу жооптуу.
"Колдонуучуларга кеңеш мурдагыдай эле; эгер унааңыз жакындыкка негизделген автоматтык түрдө кулпусун ачуу мүмкүнчүлүгүнө ээ болсо, ал негизги материалды чабуулчу болушу мүмкүн болгон аймактан алыс кармоого аракет кылыңыз ", - деп кеңеш берди Дорманн. "Ал ачкыч же смартфон болобу, сиз уктап жатканда эшиктин жанында илинип турбашы керек."
Бирок, коопсуздук чечимдеринин мындай түрлөрүн жасоочуларга жол бербей, Крюгер өндүрүүчүлөр аутентификациянын күчтүүрөөк формаларына өтүшү керек деп кошумчалады. Крюгер өзүнүн компаниясынын Токен шакегин мисалга келтирип, жөнөкөй чечим - кулпусун ачуу процессине кандайдыр бир колдонуучунун ниетин иштеп чыгуу экенин айтты. Мисалы, алардын Bluetooth аркылуу байланышуучу шакеги аппараттын колдонуучусу жаңсоо менен баштаганда гана сигналын тарата баштайт.
Ошону менен бирге, акылыбызды тынчтандырууга жардам берүү үчүн, Крюгер адамдардын Bluetooth же башка радио жыштык ачкыч фобунун эксплуатациялары жөнүндө тынчсызданбашы керектигин кошумчалады.
"Тесла демонстрациясында сүрөттөлгөндөй чабуулду токтотуу үчүн анча-мынча техникалык деңгээлдеги татаалдыкты талап кылат жана чабуулчу жеке адамды атайын бутага алышы керек", - деп түшүндүрдү Крюгер. "[Бул] Bluetooth эшигинин же унаа кулпусунун орточо ээси мындай чабуулга кабылышы күмөн экенин билдирет."