Многие реализации Bluetooth и драйверы ОС подвержены влиянию Crypto Bug
Криптографическая ошибка затрагивает реализации Bluetooth и драйверы операционной системы Apple, Broadcom, Intel, Qualcomm и, возможно, других производителей оборудования.
Эта ошибка возникает из-за того, что устройства с поддержкой Bluetooth недостаточно проверяют параметры шифрования, используемые во время «безопасных» подключений Bluetooth. Точнее говоря, устройства сопряжения недостаточно проверяют параметры эллиптической кривой, используемые для генерации открытых ключей во время обмена ключами Диффи-Хеллмана.
Это приводит к слабому сопряжению, которое может позволить удаленному злоумышленнику получить ключ шифрования, используемый устройством, и восстановить данные, передаваемые между двумя устройствами, соединенными в «безопасное» соединение Bluetooth.
Затронуты как Bluetooth, так и Bluetooth LE
Это влияет как на процесс «Безопасное простое соединение» стандарта Bluetooth, так и на процесс сопряжения «Безопасные соединения» Bluetooth LE.
Два ученых из Израильского технологического института, Лиор Нойманн и Эли Бихам, обнаружили уязвимость, отслеживаемую как CVE-2018-5383 и подробно об этом Веб-сайт и это Научно-исследовательская работа ,
CERT / CC разослал консультации по безопасности вчера вечером со следующим объяснением уязвимости:
Bluetooth использует механизм сопряжения устройств, основанный на обмене ключами Диффи-Хеллмана (ECDH) с эллиптической кривой, чтобы обеспечить шифрованную связь между устройствами. Пара ключей ECDH состоит из личного и открытого ключей, а открытые ключи обмениваются для создания общего ключа сопряжения. Устройства также должны согласовывать используемые параметры эллиптической кривой. Предыдущая работа над «Invalid Curve Attack» показала, что параметры ECDH не всегда проверяются перед их использованием в вычислении результирующего общего ключа, что снижает усилия злоумышленника получить закрытый ключ атакующего устройства, если реализация не проверяет все параметры до вычисления общего ключа.
В некоторых реализациях параметры эллиптической кривой не все проверяются реализацией криптографического алгоритма, который может позволить удаленному злоумышленнику в пределах диапазона беспроводной связи ввести недопустимый открытый ключ для определения ключа сеанса с высокой вероятностью. Такой злоумышленник может затем пассивно перехватывать и дешифровать все сообщения устройства и / или подделывать и внедрять вредоносные сообщения.
Пострадали некоторые крупные поставщики
Apple, Broadcom, Intel и Qualcomm подтвердили, что это влияет на реализацию Bluetooth и драйверы ОС. яблоко , Broadcom , а также Intel развернули исправления для ошибки. Представитель Qualcomm сообщил Bleeping Computer по электронной почте, что они также установили исправления.
Microsoft заявила, что ее устройства не пострадали. Эксперты CERT / CC не смогли определить, затронуты ли Android, устройства Google или ядро Linux.
Специальная группа Bluetooth (SIG), организация, которая занимается разработкой стандартов Bluetooth, выпустила заявление в отношении уязвимости.
Чтобы атака была успешной, атакующее устройство должно находиться в пределах беспроводной связи от двух уязвимых устройств Bluetooth, которые проходили процедуру сопряжения. Атакующему устройству потребуется перехватить обмен открытым ключом, заблокировав каждую передачу, отправив подтверждение отправляющему устройству и затем внедрив вредоносный пакет в принимающее устройство в течение узкого временного окна. Если бы только одно устройство имело уязвимость, атака не была бы успешной.
Организация заявляет, что теперь обновила официальную спецификацию Bluetooth, чтобы потребовать, чтобы все устройства сопряжения проверяли все параметры, используемые для зашифрованных соединений Bluetooth на основе ключей.
Исследователи и Bluetooth SIG сказали, что они не знали о каких-либо атаках в дикой природе, где эта уязвимость могла быть использована. Хорошая новость заключается в том, что злоумышленник должен находиться рядом с жертвой, когда он / она подключает устройство Bluetooth, процесс, который происходит очень редко, и его нельзя принудительно выполнить с помощью операции deauth. Кроме того, если одно из двух устройств, участвующих в операции очистки, получило исправление, атака больше не будет работать.
Обновления для CVE-2018-5383 следует ожидать в виде обновлений ОС или обновлений драйверов (для настольных компьютеров, ноутбуков и смартфонов) или обновлений прошивки (в случае IoT / интеллектуальных устройств).
Статья обновлена информацией об исправлениях Intel и Qualcomm.
Похожие
Как изменить IP-адрес в Windows 10IP-адрес (Интернет-протокол) - это уникальный номер, через который ваш компьютер подключается к Интернету. В этом тексте мы решили представить несколько простых методов, с помощью которых вы можете изменить IP-адрес, обновить его или просто найти информацию о нем. Приглашаем вас ознакомиться с гидом. Как перейти на Windows 10 бесплатно в 2019 году
... как и всегда, и в настоящее время я запускаю версию на собранном ПК после обновления с рабочей версии Windows 8.1. Это не так просто, как Microsoft удалила инструмент, который упрощает всю нашу жизнь при обновлении, но с небольшим трудом вы также можете обновить старые версии Windows 7, 8 или 8.1 до полнофункциональной версии Windows 10. Как перейти на Windows 10 бесплатно 1. Найдите копию Windows 7, 8 или 8.1, так как ключ вам понадобится позже. Если у Как сбросить роутер до заводских настроек?
... также необходимо будет переконфигурировать, особенно для подключения к глобальной сети, согласно данным интернет-провайдера. Это хорошая идея, чтобы защитить вашу беспроводную сеть от посторонних гостей. На моем блоге вы можете прочитать: С уважением, Камил Фольга ... компьютерные сети для всех PS. Я хотел бы просить вас о поддержке благотворительных акций, размещенных в верхнем правом углу этой страницы в разделе Как редактировать свой скин в Minecraft
Вы завидуете всем тем игрокам, которые бегают по Майнкрафту в своих изящных лохмотьях? Вы устали от скучной кожи по умолчанию? Вы хотите быть уникальным и ценимым за вашу внешность? Что ж, совершенно бесплатно для вас - за исключением небольшого количества вашего времени - вы можете изменить свою внешность и, Как конвертировать аудиокниги для использования в iTunes
... иокниги в iTunes Store, программа упорядочивает их в разделе «Книги» боковой панели iTunes. Однако, если у вас есть аудиокниги из других источников, они могут быть в разных форматах, включая стандартные форматы MP3 или AAC, и iTunes может обрабатывать их по-разному при импорте. Вместо того, чтобы хранить их вместе с остальными книгами, iTunes может поместить их в раздел музыки вместе со всей другой музыкой. Хотя вы можете создавать списки воспроизведения и использовать схемы именования Как создать описания продуктов, которые поддерживают продажи?
В интервью из серии Как добавить Bluetooth на свой компьютер
... как легко и дешево добавить поддержку Bluetooth на любой компьютер. Зачем мне это делать? Несмотря на то, что вы можете без проблем работать без поддержки Bluetooth на вашем компьютере (особенно если вы используете настольный компьютер), существуют десятки тысяч периферийных устройств и аксессуаров, которые требуют - или будут более удобными - благодаря Bluetooth. СВЯЗАННЫЕ С: Как проверить микрофон, камеру и динамики в скайпе
... так, что наш микрофон или камера не работают должным образом. Прежде чем начать разговор с другом или коллегой, стоит проверить, все ли работает как надо. Для этого мы запускаем программу Skype. Далее мы находим вкладку «Инструменты» и пункт «Параметры». В новом окне «Параметры» нам нужно найти вкладку «Настройки аудио». Это одна из первых вкладок в левом меню параметров. Как запустить устаревшую Windows с Limbo для Android
... le Play под названием Limbo PC Emulator , Его можно бесплатно загрузить и использовать как в коммерческих, так и в некоммерческих целях. Просто следуйте инструкциям ниже, чтобы запустить устаревшее программное обеспечение Windows на планшете. С Limbo PC Emulator вы также можете запускать устаревшее программное обеспечение Windows на своем смартфоне Android. Я использовал Как обновлять ваш ПК и приложения под Windows
... ие вашего ПК - это хлопотно, но важно"> Мы знаем, что обновление вашего ПК - это хлопотно, но важно. Новые недостатки в безопасности обнаруживаются на регулярной основе, и большинство компаний довольно хорошо выпускают исправления для этих недостатков по мере их появления. Однако закрытие этих дыр зависит, прежде всего, от того, что вы убедитесь, что все обновлено соответствующим образом. Если вы используете Windows 8 или 10, Установите драйвер Bluetooth в Windows XP и Vista BCM2045A
... Bluetooth на XP и Vista Недавно я получил грант USB-ключа без фирменного наименования, но в комплекте с мини-CD с программным обеспечением BlueSoleil , Физическая, как
Комментарии
Так как же с этой мотивацией в конце концов - есть ли эффективный способ пробудить это?Так как же с этой мотивацией в конце концов - есть ли эффективный способ пробудить это? Как и во всем в жизни, и с мотивацией похудеть дело обстоит сложнее. Начнем с самого начала. Что именно мотивация? Больше чем вдохновляющие лозунги повторять себя каждое утро и вечер. Вешать фотографии красивых Так как же вы не только получаете больше дискового пространства с Windows 10, но и немного ускоряете его работу?
Так как же вы не только получаете больше дискового пространства с Windows 10, но и немного ускоряете его работу? Сначала введите « Компьютер» и выберите диск, на котором установлена Windows 10, из списка « Устройства и накопители» , а затем введите « Свойства диска». Во-вторых, мы выбираем Очистка диска . Я могу сразу заметить, что недавно Windows 10 заняла более 120 МБ пространства для создания миниатюр и использования временных файлов. В Top Virus , Афера технической поддержки Microsoft , Как исправить проблему с Google Redirect Virus , Как просмотреть скрытые файлы?
Так как же вы не только получаете больше дискового пространства с Windows 10, но и немного ускоряете его работу? Сначала введите « Компьютер» и выберите диск, на котором установлена Windows 10, из списка « Устройства и накопители» , а затем введите « Свойства диска». Во-вторых, мы выбираем Очистка диска . Я могу сразу заметить, что недавно Windows 10 заняла более 120 МБ пространства для создания миниатюр и использования временных файлов. В Действительно ли он так силен, как заявляет его продюсер?
Действительно ли он так силен, как заявляет его продюсер? Давайте начнем с того, что мы находим в спецификации. CAT определяет модель S40 как усиленное устройство, соответствующее стандарту IP68, устойчивое к погружению в воду на глубину 1 м на 60 минут, устойчивое к пыли, падает на твердую поверхность с высоты 1,8 м и может работать при температуре в диапазоне от - 25 градусов до 55 градусов. Удары и сильные вибрации тоже не страшны S40. Игнорируя информацию о том, что Как долго ваш бизнес получал доход?
Как долго ваш бизнес получал доход? Мы не публикуем официальную информацию о прибыльности или выручке компании. Я могу сказать, что каждый входящий злотый вкладывается в проект. Мы сосредоточены на создании знаний и развитии команды, и, следовательно, самого проекта. Планируете ли вы выходить на другие интернет-рынки или вы ориентируетесь только на Польшу? В проектах на 3-й и 4-й квартал мы не предполагаем расширения. Известно, Вы действительно не можете опубликовать Fraszki как один том, как традиционные книги напечатаны?
Вы действительно не можете опубликовать Fraszki как один том, как традиционные книги напечатаны? Министерство так сомневается в способности найти то, что студенты должны обсудить? Свободное Чтение. Большинство текстов исходят оттуда, что означает, что они находятся в свободном доступе и могут быть легко найдены без использования министерской стороны. А как насчет текстов, авторские права которых не истекли? Здесь еще интереснее. Поскольку оказывается, что, хотя проект Так как насчет караоке-сессии с друзьями, например, где играют только классику?
Так как насчет караоке-сессии с друзьями, например, где играют только классику? А как насчет других CA, таких как Comodo?
А как насчет других CA, таких как Comodo? В приведенном выше примере Comodo фактически обнаружил, что сайт является вредоносным, и отозвал сертификат. Поэтому им следует отдать должное за это. Проблема заключалась в том, что Chrome неправильно ищет отозванные сертификаты. То, как центры сертификации выдают сертификаты, уже давно является предметом дискуссий. Google Как вы регистрируете свой номер телефона?
Как вы регистрируете свой номер телефона? Чтобы получить бесплатный мгновенный перевод, необходимо зарегистрировать свой номер телефона в банковском I: Как вы думаете, какой функциональности не хватает в интернет-магазинах модной одежды?
I: Как вы думаете, какой функциональности не хватает в интернет-магазинах модной одежды? Дж .: Часто продукты показываются неточно. Приятно видеть что-то на модели, с каждой стороны, более или менее представлять, как лежит блузка или платье. Я: Возможно ли и как построить высокое качество собственной жизни?
Возможно ли и как построить высокое качество собственной жизни? Каковы проблемы и опасности отсутствия этого в нашей жизни? Качество жизни - новая книга Качество, качество ... - его обменивают в разных случаях и меняют в разных случаях, и кроме того, он размывает тривиальность речи, мыслей, планов
Вы устали от скучной кожи по умолчанию?
Вы хотите быть уникальным и ценимым за вашу внешность?
Зачем мне это делать?
Так как же с этой мотивацией в конце концов - есть ли эффективный способ пробудить это?
Что именно мотивация?
Так как же вы не только получаете больше дискового пространства с Windows 10, но и немного ускоряете его работу?
Так как же вы не только получаете больше дискового пространства с Windows 10, но и немного ускоряете его работу?
Действительно ли он так силен, как заявляет его продюсер?
Как долго ваш бизнес получал доход?
Планируете ли вы выходить на другие интернет-рынки или вы ориентируетесь только на Польшу?