Come abbiamo detto più volte, e continueremo a farlo, la privacy e la sicurezza delle informazioni sono due dei pilastri di cui dobbiamo occuparci quotidianamente in qualsiasi sistema operativo che gestiamo.
Non è un segreto per nessuno che ci troviamo in un mondo online dove vengono eseguite migliaia di azioni ogni minuto e dove sono coinvolti dati personali come conti bancari, numeri di carta, numeri di identificazione, indirizzo e molti altri, e con il boom crescente Da attacchi come ransomware o malware, questi dati possono essere compromessi e utilizzati per scopi dannosi.
Poco più di un mese fa abbiamo visto come WannaCry ha influito su migliaia di utenti e aziende in tutto il mondo "dirottando" i loro dati e chiedendo somme di denaro alle persone colpite per il loro riscatto. Questa settimana, la società Armis Labs ha pubblicato un whitepaper che avverte di una nuova grave vulnerabilità che può potenzialmente lasciare miliardi di dispositivi abilitati Bluetooth suscettibili all'esecuzione di codice remoto e agli attacchi MiTM (Man-in-The-Middle). .
Questo è delicato in quanto consente agli aggressori di prendere il controllo del computer e quindi portare a termine i loro piani dannosi. Solvetic desidera mettere in guardia su questo nuovo attacco e quindi effettuerà un'analisi completa di questo nuovo tipo di minaccia, impedendoci così di essere una vittima in più.
Panoramica BlueBorneCome accennato in precedenza, Armis Labs ha rivelato un nuovo vettore di attacco che mette a rischio i principali sistemi operativi mobile, desktop e IoT, tra cui Android, iOS, Windows e Linux, e i dispositivi che ne fanno uso.
Questo nuovo vettore si chiama BlueBorne, e prende questo nome perché si diffonde nell'aria (aviotrasportata) e attacca i dispositivi tramite il servizio Bluetooth. Ancora non è stato abilitato. Allo stesso modo, Armis ha anche rivelato otto vulnerabilità legate all'attacco Zero Days, day zero, quattro delle quali classificate come critiche.
La minaccia BlueBorne consente agli aggressori di assumere il controllo dei dispositivi, accedere ai dati e alle reti aziendali, penetrare nelle reti sicure di "accesso a Internet" e diffondere malware lateralmente ai dispositivi adiacenti, compromettendo completamente la privacy e la sicurezza di tutti i contenuti sul dispositivo. Armis ha segnalato queste vulnerabilità e sta attualmente lavorando con gli sviluppatori per identificarle e rilasciare patch per contrastare questa minaccia.
Cos'è BlueBorne?Come affermato, BlueBorne è un vettore di attacco in cui gli hacker possono sfruttare le connessioni Bluetooth dei dispositivi per penetrare e assumere il pieno controllo dei dispositivi di destinazione, colpendo i normali computer, i telefoni cellulari e il regno in espansione dei dispositivi IoT (Internet of Things). .
Questo attacco non richiede che il dispositivo di destinazione sia associato al dispositivo dell'attaccante che è il modo classico di funzionamento del Bluetooth e non richiede che sia impostato sulla modalità rilevabile che potrebbe passare inosservata a noi utenti.
Questo vettore di attacco BlueBorne può essere utilizzato per eseguire un'ampia gamma di crimini, inclusa l'esecuzione di codice remoto, nonché attacchi Man-in-The-Middle. La cosa peggiore di questo attacco è che sono state trovate fino a otto vulnerabilità zero-day separate (incluse quattro critiche) che possono essere utilizzate per hackerare la maggior parte dei dispositivi. Bluetooth attualmente disponibile, indipendentemente dal sistema operativo utilizzato, ciò significa che più di 5 miliardi di dispositivi Bluetooth in tutto il mondo sono potenzialmente vulnerabili a questa enorme falla di sicurezza che è stata scoperta meno di una settimana fa.
Qual è il rischio di BlueBorneSebbene per molti questa sia semplicemente una minaccia e pensiamo che non saremo mai vittime, è importante tenere presente che il vettore di attacco BlueBorne ha diverse qualità che possono avere un effetto devastante se combinate tra loro in modo che quando si diffondono attraverso il air, BlueBorne si concentra sul punto più debole della difesa della rete, e l'unico che non protegge alcuna misura di sicurezza.
La diffusione da un dispositivo all'altro attraverso l'aria rende inoltre BlueBorne altamente contagioso tra i dispositivi aumentando i suoi livelli di attacco e, inoltre, poiché il processo Bluetooth ha privilegi elevati in tutti i sistemi operativi, sfruttarlo fornisce un controllo quasi totale sul dispositivo interessato senza che ce ne accorgiamo subito.
BlueBorne ha la capacità di fungere da qualsiasi bersaglio dannoso, come ad esempio:
- Spionaggio informatico
- Furto di dati
- ransomware
- Creazione di botnet al di fuori di dispositivi IoT come Mirai Botnet o dispositivi mobili come il recente WireX Botnet.
Quanto è ampia la minaccia di BlueBorne?
A questo punto alcuni utenti penseranno, beh, sono a Lima, Madrid, Bogotá e ho un antivirus sui miei computer, di cosa mi preoccupo? Solvetic raccomanda di adottare misure appropriate e di essere consapevoli che questa minaccia può essere presente in qualsiasi parte del mondo.
Il vettore di attacco BlueBorne può potenzialmente influenzare tutti i dispositivi abilitati Bluetooth, stimati in oltre 8,2 miliardi di dispositivi oggi in tutto il mondo. Ricorda che il Bluetooth è il protocollo leader e più diffuso per le comunicazioni a corto raggio ed è utilizzato da dispositivi di ogni tipo, dai normali computer e dispositivi mobili ai dispositivi IOT come televisori, orologi, automobili e persino dispositivi medici. Sebbene oggi disponiamo di molti più protocolli di rete, tutti i nostri dispositivi mobili dispongono di Bluetooth, il che ci rende un bersaglio di attacchi:
Per avere un'idea globale del numero di dispositivi che possono essere interessati, gli ultimi rapporti pubblicati indicano che sono in uso oltre 2 miliardi di dispositivi Android, 2 miliardi di Windows e 1 milione di dispositivi Apple. Gartner riferisce che oggi nel mondo ci sono 8 miliardi di dispositivi connessi o IoT, molti dei quali dotati di Bluetooth, quindi possiamo vedere i livelli di impatto che BlueBorne può causare.
Novità di BlueBorne
Sebbene BlueBorne fosse a malapena conosciuto una settimana fa, sappiamo molto bene che gli aggressori utilizzano costantemente nuove tecniche per diffondere l'attacco e quindi dobbiamo sapere quali nuove funzionalità sono state scoperte con questo argomento.
Ecco qui alcuni di loro:
Un nuovo vettore di attacco aereoA differenza della maggior parte degli attacchi che si verificano oggi, che si basano su Internet, un attacco BlueBorne si diffonde nell'aria, rendendolo una minaccia molto più seria. Funziona in modo simile alle due vulnerabilità meno estese scoperte di recente su un chip Wi-Fi Broadcom da Project Zero ed Exodus in quanto le vulnerabilità rilevate sui chip Wi-Fi hanno interessato solo le periferiche del dispositivo e richiedono un altro passaggio per controllare il dispositivo.
Invece, con BlueBorne, gli aggressori possono ottenere il pieno controllo fin dall'inizio. Oltre a questo, il Bluetooth offre all'attaccante una superficie molto più ampia rispetto al WiFi, quasi totalmente inesplorata dai ricercatori e quindi contiene molte più vulnerabilità.
Essendo un attacco aereo, l'attaccante ha maggiori possibilità di portare a termine il suo piano per motivi quali:
- La diffusione nell'aria rende l'attacco molto più contagioso, permettendogli di diffondersi con il minimo sforzo da parte dell'attaccante
- Consente all'attacco di aggirare le attuali misure di sicurezza e di non essere rilevato, poiché i metodi tradizionali non proteggono dalle minacce aeree, ma si concentrano invece su minacce di altro tipo
- Consentono agli hacker di penetrare nelle reti interne sicure che sono "filtrate", il che significa che sono disconnesse da qualsiasi altra rete per protezione.
- A differenza del malware o degli attacchi tradizionali, l'utente non deve fare clic su un collegamento o scaricare un file discutibile. Non è necessaria alcuna azione dell'utente per consentire l'attacco che potrebbe essere impercettibile per nessuno di noi.
Una minaccia ampia e drasticaIl vettore di attacco BlueBorne non richiede alcuna interazione da parte dell'utente, è compatibile con tutte le versioni software attuali e non richiede alcuna precondizione o configurazione oltre all'attivazione del Bluetooth che ha tutti gli ingredienti per diventare una delle minacce peggiori conosciute.
Sebbene possa non sembrare vero, i dispositivi abilitati Bluetooth sui nostri computer cercano costantemente le connessioni in entrata da qualsiasi dispositivo, e non solo quelli con cui sono stati accoppiati, il che significa che è possibile stabilire una connessione Bluetooth senza associare affatto i dispositivi e questo è un grave difetto di sicurezza in quanto consente a BlueBorne di essere uno dei potenziali attacchi negli ultimi anni e consente a un utente malintenzionato di attaccare completamente inosservato dall'utente o dai ricercatori.
Vulnerabilità Bluetooth di nuova generazioneQualche tempo fa, la maggior parte delle vulnerabilità Bluetooth e dei difetti di sicurezza sono originati da problemi con il protocollo stesso, che sono stati risolti nella versione 2.1 nel 2007.
Il Bluetooth è un protocollo difficile da implementare, che gli consente di essere soggetto a due tipi di vulnerabilità:
Innanzitutto, i fornitori possono seguire le linee guida di implementazione del protocollo parola per parola, che indicano che quando viene rilevata una vulnerabilità su una piattaforma, potrebbe interessare altre. Queste vulnerabilità riflesse si sono verificate con CVE-2017-8628 e CVE-2017-0783 (Windows e Android MiTM) che erano "gemelli identici".
In secondo luogo, in alcune aree, le specifiche Bluetooth lasciano molto spazio all'interpretazione, il che provoca la frammentazione dei metodi di implementazione su piattaforme diverse, rendendo ciascuna di esse più probabile che contenga la propria vulnerabilità.
Per questo motivo le vulnerabilità che compongono l'attacco BlueBorne si basano sulle varie implementazioni del protocollo Bluetooth, e sono più frequenti e gravi di quanto precedentemente noto.
Sulla base di questo tipo di minaccia e del modo in cui può diffondersi in modo semplice e ampio, Armis ha contattato gli sviluppatori al fine di coordinare misure di sicurezza drastiche ed efficaci per la protezione dell'utente finale.
Armis è stato contattato come segue:
- Google contattato il 19 aprile 2021-2022
- Microsoft è stata contattata il 19 aprile 2021-2022 e gli aggiornamenti sono stati effettuati l'11 luglio 2021-2022
- Apple è stata contattata il 9 agosto 2021-2022 perché Apple non presentava vulnerabilità nelle sue attuali versioni dei sistemi operativi.
- Samsung è stata contattata nei mesi di aprile, maggio e giugno Samsung senza ricevere risposta
- Linux è stato contattato il 15 e 17 agosto 2021-2022. E il 5 settembre 2021-2022, sono state fornite le informazioni necessarie al team di sicurezza del kernel.
Dispositivi interessati
Abbiamo raggiunto uno dei punti critici per la maggior parte di noi e cioè sapere quale percentuale di vulnerabilità siamo con i nostri dispositivi.
Ricorda che BlueBorne interessa tutti i dispositivi in esecuzione su sistemi operativi Android, Linux, Windows e iOS precedenti alla versione 10, indipendentemente dalla versione di Bluetooth utilizzata, che è una vasta gamma di dispositivi interessati, tra cui apparecchiature PC. , dispositivi mobili, smart TV e dispositivi IoT.
Android
A livello di Android abbiamo i seguenti effetti:
Tutti i telefoni, tablet e laptop Android (ad eccezione di quelli che utilizzano solo Bluetooth Low Energy) di tutte le versioni sono affetti da quattro vulnerabilità riscontrate nel sistema operativo Android che sono:
- (CVE-2017-0781 e CVE-2017- 0782) che consentono l'esecuzione del codice da remoto
- (CVE-2017-0785) in cui si verifica una fuga di informazioni
- (CVE-2017-0783) che consente a un utente malintenzionato di eseguire un attacco Man-in-The-Middle.
- Google Pixel
- Samsung Galaxy
- Scheda Samsung Galaxy
- LG Watch Sport
- Sistema audio per auto zucca
Armis ha sviluppato un'applicazione gratuita chiamata BlueBorne Vulnerability Scanner che possiamo scaricare dal Play Store al seguente link:
Durante l'esecuzione potremo vedere la rispettiva analisi. Infine vedremo quale livello di vulnerabilità abbiamo:
Come attacca Android:
finestre
A livello di Windows, purtroppo tutti i computer a partire da Windows Vista sono affetti dalla vulnerabilità "Bluetooth Pineapple" che consente a un utente malintenzionato di eseguire un attacco Man-in-The-Middle (CVE-2017-8628). Microsoft ha rilasciato patch di sicurezza per tutte le versioni supportate di Windows l'11 luglio 2021-2022.
In questo caso possiamo andare al seguente link ufficiale Microsoft per scaricare le ultime patch di sicurezza:
INGRANDIRE
Come attacca in Windows:
Linux
Nel caso di Linux, tutti i dispositivi Linux che eseguono BlueZ sono interessati dalla vulnerabilità della perdita di informazioni (CVE-2017-1000250). Tutti i dispositivi Linux dalla versione 3.3-rc1 (rilasciata nell'ottobre 2011) sono interessati dalla vulnerabilità dell'esecuzione di codice in modalità remota (CVE-2017-1000251).
Alcuni esempi di dispositivi interessati sono.
- Samsung Gear S3 (Smartwatch)
- Smart TV Samsung
- Samsung Family Hub (frigorifero intelligente)
Lista nera dei moduli Bluetooth di base:
printf "install% s / bin / true \ n" bnep bluetooth btusb >> /etc/modprobe.d/disable-bluetooth.conDisabilitare e interrompere il servizio Bluetooth
systemctl disabilita bluetooth.service systemctl mask bluetooth.service systemctl ferma bluetooth.serviceRimuovere i moduli Bluetooth:
rodo bnep rodo bluetooth rodo btusb
ios
Tutti i dispositivi iPhone, iPad e iPod touch con iOS 9.3.5 o precedente e i dispositivi AppleTV con versione 7.2.2 o precedente saranno interessati dalla vulnerabilità di esecuzione del codice remoto. Questa vulnerabilità è stata già mitigata da Apple in iOS 10, quindi non è necessaria una nuova patch per mitigarla e in caso di non poter applicare la patch sarà necessario disabilitare il Bluetooth e minimizzarne l'utilizzo fino a quando non potrà confermare che un nuovo patch è stata rilasciata e installata patch sul dispositivo.
Nel seguente video spieghiamo come funziona BlueBorne:
Il vettore di attacco BlueBorne ha diverse fasi che sono:
- Innanzitutto, l'attaccante individua le connessioni Bluetooth attive nel suo ambiente. I dispositivi possono essere identificati anche se non sono impostati in modalità "rilevabile"
- In secondo luogo, l'attaccante ottiene l'indirizzo MAC del dispositivo, che è un identificatore univoco per quel dispositivo specifico. Testando il dispositivo, l'attaccante può determinare quale sistema operativo sta utilizzando l'utente e adattare di conseguenza il proprio exploit.
- In terzo luogo, l'attaccante può sfruttare una vulnerabilità nell'implementazione del protocollo Bluetooth sulla piattaforma pertinente e ottenere l'accesso di cui ha bisogno per agire sul suo bersaglio dannoso.
- Infine, l'attaccante può scegliere quale tipo di attacco applicare, sia esso Man-in-The-Middle e controllare la comunicazione del dispositivo, oppure assumere il pieno controllo del dispositivo e utilizzarlo per un'ampia gamma di scopi criminali informatici.
Possiamo vedere come sorgono nuove minacce che mettono a rischio la nostra privacy e quindi l'importanza di adottare le misure necessarie per proteggere e aggiornare i nostri dispositivi.
