Уязвимость в Bluetooth позволяет следить за пользователями Windows, iOS и macOS

Уязвимость в Bluetooth позволяет следить за пользователями Windows, iOS и macOS

Исследователи из Бостонского университета обнаружили в протоколе беспроводной связи Bluetooth критический изъян. По словам специалистов, с его помощью злоумышленники могут красть данные со многих современных устройств. В зоне риска находятся пользователи смартфонов, планшетов и компьютеров под управлением iOS, macOS и Windows 10, а также обладатели фитнес-трекеров Fitbit и смарт-часов Apple Watch.

Bluetooth

Детали исследования были объявлены на 19-м Симпозиуме по повышению конфиденциальности технологий в Стокгольме, Швеция. Эксперты отмечают, что уязвимость в работе Bluetooth Low Energy (BLE) позволяет злоумышленникам получать доступ к идентифицирующим токенам, включающим информацию о типе устройства и прочие данные от производителя.

Чтобы упростить сопряжение устройств друг с другом, BLE использует общедоступные незашифрованные рекламные каналы. Изначально этот протокол передавал постоянные MAC-адреса Bluetooth-устройств, что вызвало критику в отношении конфиденциальности этой технологии. Позже проблему решили, позволив производителям устройств использовать периодически меняющийся случайный MAC-адрес вместо постоянного. 

Apple Watch

Уязвимость, обнаруженная исследователями Бостонского университета, использует вышеупомянутый случайный MAC-адрес. Специалисты отмечают, что идентифицирующие токены, присутствующие в рекламных сообщениях, уникальны для каждого устройства и остаются статичными достаточно долго, чтобы их можно было использовать в качестве альтернативы MAC-адреса. Через неизменные идентифицирующие токены злоумышленники могут связывать меняющиеся MAC-адреса, что в итоге позволяет распознавать и отслеживать гаджеты.

Для использования уязвимости хакерам достаточно написать алгоритм для «прослушивания» входящих MAC-адресов и токенов, которые транслируются по рекламным каналам BLE. После извлечения токенов алгоритм постоянно сверяет новые адреса со старыми. В случае совпадения злоумышленники понимают, что это одно и то же устройство, что позволяет вести слежку на постоянной основе.

Интересно, что пользователи Android-устройств полностью защищены от этой уязвимости, поскольку операционная система не отправляет никакие идентифицирующие данные в рекламных сообщениях по BLE. 

Источник: thenextweb.com


  • blvckhxle
    Хорошо, что у меня Android)
    • usr47067
      Nightglide,
      Потому что он без BLE.
      • NC2020
        usr47067,
        Казалось бы, вместо Android должна была быть IOS, мол не поддерживает, и хорошо. Но в случае с андроидом опять не довольны...
        • usr47067
          mkolpak,
          Я так понимаю, злоумышленники постоянно должны находиться в радиусе действия синезуба, чтобы следить?
          • NC2020
            usr47067,
            Ну скорее всего, ведь они по нему смотрят.
            • usr47067
              mkolpak,
              С таким успехом можно и визуально отслеживать)
              • Jomphboob
                usr47067,
                а по твоему 2.4 ггц довольно близко ловит, чтобы глупо насмехаться или нет направленных антенн?
                • MaxPowerSGS
                  Jomphboob,
                  да легко ловить, направленными антеннами и компактными устройствами, альфа например, хорошая такая штука.
                  • usr47067
                    Jomphboob,
                    Для того и пишу, чтобы умные люди мне объяснили.
              • MaxPowerSGS
                usr47067,
                не, не обязательно. Да и радиус не как у вайфай очевидно же.
            • Florbo
              usr47067,
              у меня андроид с бле..
              • ZaYAC_ua
                usr47067,
                В статье написано, что он не транслирует по рекламным каналам BLE не какой инфы, а не то что в нем нет поддержки BLE)
                • Florbo
                  ZaYAC_ua,
                  а ЛЕ это всего лишь Low Energy, использует мало энергии, за стуки ЛЕ сажает аккум на 1-2%, а не ЛЕ - на 10-15%
              • inko-d
                Nightglide,
                В нём не меньше
              • taurussnake
                Товарищ майор, это просто праздник какой-то!
                • sa654d65as4d65a
                  Да ладно))) Обычно Android первым попадает под раздачу, а тут какое-то прям несоответствие канонам)))
                  • adasiko
                    u457,
                    Ну типа того 🙂
                    Хотя сидеть на Android с полно засаженным гуглом, и радоваться что весьма экзотический и мало практичный способ слежки тебя обошёл — так себе удовольствие 🙂
                    • GamePixel
                      вечно у этих айфонов проблемы с блютузом, то музыку не передать, то инфу сливают
                    • mqfody
                      Поэтому надо брать лопатки на blackberry:)
                      • aimp444
                        Я думал что айос никогда не пробить, не сможет никто взломать, а тут то...
                        • MaxPowerSGS
                          Люблю про уязвимости читать, если осиливаю материал, то воспроизвожу в домашних условиях и к сожалению в 90% случаях получается повторить эксперимент:_)
                          • RolandS
                            Такое ощущение, что кому то нужно за кем то следить. Да всем плевать на ваши тайны .
                            А у тех людей, на чьи тайны не плевать и они интересны - у них службы безопасности есть., которые будут указывать, что лучше всего общаться нарочным ;)
                            • NANAME1477
                              Сколько лет уже этому виду передачи данных? Он все еще работает криво, многое не умеет, да еще и уязвим.
                              В последний раз я пользовался бютузом наверное, в году 2010.
                              • myhouse_1991
                                NANAME1477,
                                Для беспроводных наушников, колонок и геймпада
                                • NANAME1477
                                  myhouse_1991,
                                  Качество звучания посредственное, т.к. у блютуз низкая пропускная способность.
                                  Пытаются сейчас кодеками AptX и прочими улучшалками компенсировать, но это больше похоже на костыли, которые почти не дают положительного эффекта.
                            • borissl118
                              Переводчик, хорошо бы разбираться в теме, прежде чем браться за перевод. Потому как оригинал совсем не про то, про что вы набредили. Речь идёт не о краже данных, а об идентификации и отслеживании устройств.

                              А в частности, advertising далеко не всегда означает рекламу.

                              Разработчики приложения Nordpass в сотрудничестве с независимыми исследователями обновили список из 20 самых «бесполезных» паролей. По словам экспертов, 17 из них хакеры взламывают менее чем за секунду. Кроме того, в этом году первое место в «антирейтинге» заняла новая комбинация символов.

                               

                              Девятое поколение консолей наверняка запомнится как очень странное: вот уже больше трёх лет прошло с момента запуска устройств, но PlayStation 4 и Xbox One всё ещё не утратили актуальность, а многие игры выходят на всех системах. Что ж, теперь поколение официально стремится к своему закату.

                               
                              <div></div><div></div><a href='/2024/03/28/2852862/' target='_blank'><img src='https://4pda.to/s/as6ywue3S4wsjFGg0z2I2iyY7kHEE0EmiXkPLY783uK3Miqm98HafRECC.jpg' title='' /></a><div ><img src='https://4pda.to/s/as6yu42hlyXjD7kQLqbvVMOGid.gif' /></div><div></div><div></div>

                              Samsung обновила список устройств, которые в ближайшее время будут получать регулярные обновления системы. Компания включила в него и новейшие флагманы Galaxy S24, значительно увеличив для них срок поддержки.

                               

                              The Day Before вышла и самоуничтожилась, однако слава её живёт. Сотрудники немецкого издания GameStar выпустили большой материал с новыми деталями разработки этой игры, которые по-прежнему удивляют.

                               

                              Компания Microsoft выпустила Windows на iPhone и iPad, правда, речь идёт не об операционной системе, а о специальном мобильном приложении. Оно пришло на смену старой программе Windows 365, объединило разные сервисы Microsoft и добавило возможность запуска «облачного» ПК на разных устройствах, в том числе смартфонах и планшетах.

                               

                              Канадская компания Sandvine поделилась статистикой веб-трафика, которая показывает его распределение по  объёму. Как оказалось, протокол BitTorrent переживает не лучшие времена — его изрядно потеснили сразу несколько популярных онлайн-площадок.

                               

                              Каким смартфоном пользуется глава одной из самых дорогих компаний мира, которая выпускает собственные телефоны? Если вы ответите Pixel, то будете неправы. Как минимум не в полной мере, поскольку это, вероятно, лишь один из множества устройств. 

                               

                              «Лаборатория Касперского» рассказала РБК о 15-кратном росте количества хакерских атак вида FakeBoss. С их помощью злоумышленники крадут деньги или ценные сведения у специалистов через Telegram, притворяясь их же работодателями.

                               

                              Автор YouTube-канала Hardware Unboxed протестировал процессор AMD Ryzen 7 5700, представленный в январе вместе с чипами 8000-й серии. Как оказалось, маркировка CPU не соответствует его производительности: в игровых сценариях он уступил более дешёвому «соседу» по фирменной линейке.

                               

                              После череды утечек и тизеров компания Nothing официально презентовала новый смартфон Phone (2a). В ассортименте бренда он занял промежуточное место между оригинальным Phone (1) и флагманским Phone (2). В то же время производитель пошёл на некоторые упрощения, чтобы сделать аппарат доступнее. 

                               

                              Популярный архиватор WinRAR обновился до версии 7.0 и получили несколько полезных изменений. Апдейт доступен для всех поддерживаемых платформ: Windows, Linux, Android, macOS и FreeBSD. Разработчики рассказали, что они добавили в свежую версию приложения и самого формата RAR.

                               

                              Компания ZTE выпустила недорогой смартфон Changxing 60 с интересным набором характеристик. Новинка поставляется с Android-интерфейсом под кнопочную звонилку, оснащается неплохим для своей цены объёмом памяти и современным разъёмом USB Type-C, а также поддерживает сети 5G.

                               
                              Блогер проверил, сможет ли Galaxy S24 Ultra заменить ПК [ВИДЕО] Популярное

                              Автор YouTube-канала Samuel Nam провёл необычный эксперимент, отказавшись от своего 16-дюймового MacBook Pro на M1 Max в пользу Samsung Galaxy S24 Ultra. В течение трёх недель он использовал флагманский смартфон в качестве полноценной замены компьютеру для выполнения всей повседневной активности.

                               
                              В России появилась новая схема кражи аккаунтов «Госуслуг» Популярное

                              Издание «Коммерсантъ» рассказало о новой мошеннической схеме, нацеленной на получение личных данных пользователей. Для этого злоумышленники задействовали «Госуслуги», что позволяет им получить не только данные к порталу, но и полную информацию о пользователе.

                               
                              В WhatsApp появятся две новые функции. Что добавят? Популярное

                              Инсайдеры обнаружили в тестовых сборках WhatsApp для Android два нововведения, которые скоро станут общедоступными. Первое из них сможет заметно облегчить жизнь противникам голосовых сообщений, а второе ориентировано на пользователей, которые привыкли часто делиться своими статусами в мессенджере.

                               

                              Resizable BAR — это технология, позволяющая процессору обращаться ко всему объёму видеопамяти. Старое железо её не поддерживает, но пользователь GitHub под ником xCuri0 решил это исправить. Он написал и выложил в открытый доступ утилиту ReBarUEFI, которая, по его словам, способна заметно повысить производительность некоторых игр.

                               

                              По расчётам аналитиков Canalys, после прекращения поддержки Windows 10 в следующем году актуальность потеряют около 240 миллионов ПК, не поддерживающих более новую ОС Microsoft. В качестве альтернативы Google предложила пользователям такого железа перейти на её фирменную ОС, созданную специально для устаревших компьютеров.

                               

                              В сети появились рендеры ещё не представленного автомобиля Lada Iskra, которые были найдены в базе патентов Федерального института промышленной собственности. Судя по изображениям, новинка во многом будет похожа на Lada Vesta.

                               
                              Google открыла доступ к Gemini 1.5 Pro — самой мощной нейросети в мире Популярное

                              Ведущий научный сотрудник Google Джефф Дин сообщил об открытии публичного доступа к нейросети Gemini 1.5 Pro. Фирменная языковая модель справляется с широким спектром задач и, по заявлению её создателей, значительно превосходит по своим возможностям GPT-4.

                               

                              После новости о появлении на iOS в Европе сторонних магазинов и возможности загрузки приложений вне App Store многие явно задумались о создании европейского аккаунта. Но похоже, что Apple предусмотрела этот момент и ввела ряд ограничений на этот случай. 

                               

                              Вот и свершилось: Rockstar действительно анонсировала GTA VI, как предсказывал Джейсон Шрайер. Правда, любоваться пока не на что — компания лишь готовит геймеров к первому официальному трейлеру.

                               

                              Подсистема Windows для Android, позволяющая запускать приложения для смартфона на ПК, неожиданно пропала из Microsoft Store. Компания подтвердила прекращение разработки некогда амбициозного проекта и рассказала, что это будет означать для пользователей.

                               

                              Ещё до официального выпуска Cybertruck глава Tesla Илон Маск заявлял об отличных плавательных возможностях электропикапа. А недавно новинку заметили рассекающей по пляжу. Теперь Маск решил снова рассказать, что их машина может плавать. Правда, с некоторыми оговорками.

                               

                              Незадолго до выставки CES 2024 в сети появились результаты тестирования ещё не анонсированного процессора AMD Ryzen 5 8600G. Точнее, инсайдеры оценили производительность его встроенной графики — если эти данные верны, она будет вполне способна заменить дискретную видеокарту начального уровня.

                               

                              В своём новом патенте компания показала необычную разработку, ориентированную на стандартизацию аккумуляторов для разных видов цифровой техники. Если оно дойдёт до серийного производства, пользователи смогут менять батареи iPhone, iMac и периферии за считаные секунды и даже переставлять из одного устройства в другое.

                               

                              Глава мобильного подразделения Samsung Тэ Мун Ро прокомментировал информацию о платной подписке на ИИ-сервисы для смартфонов Galaxy. Официальное заявление на этот счёт он сделал в рамках интервью порталу ET Telecom.

                               

                              Компания Honor представила лэптоп под названием MagicBook Pro 16, который позиционирует как самую мощную модель в истории фирменной серии. Помимо дискретной видеокарты, новинка может похвастать ярким дисплеем с высоким разрешением, «заряженной» акустикой и металлическим корпусом белого цвета с необычным радужным отливом.

                               

                              Нидерландская компания Yandex N.V. объявила о продаже бизнеса «Яндекса» консорциуму частных инвесторов. Представители компании рассказали об ожидаемых следствиях реструктуризации и сообщили, кто станет её новым владельцем.

                               

                              На момент своего появления NVIDIA TITAN GTX была одной из самых мощных видеокарт на рынке. К её 11-летию журналисты PC Games Hardware взялись проверить, смог ли прогресс приблизить бюджетную видеокарту AMD Radeon RX 6400 к флагману 11-летней давности.

                               

                              DOOM — это больше, чем просто игра. Это феномен, образ жизни, и, так уж вышло, целый мем. Народ давно привык к тому, что легенду запускают на различных компьютерах и не предназначенной для видеоигр аппаратуре, поэтому одна фанатка шутера решилась на ещё более оригинальный шаг.

                               
                              Тормозные диски наносят больше вреда организму, чем выхлопные газы Популярное

                              Сотрудники Калифорнийского университета в Ирвине поделились результатами исследования, согласно которому основная часть выбрасываемых во время торможения частиц способна нести электрический заряд и последующий вред для здоровья людей. Эта работа может помочь в борьбе по сдерживанию источников загрязнения в крупных городах.

                               

                              Ещё до выхода дебютного трейлера GTA VI интернет заполонили конспирологические теории фанатов серии, которые искали намёки везде, где только можно. Теперь же геймеры добрались до официального арта новой части и показали пару находок.

                               

                              Пока новостей о продолжении S.T.A.L.K.E.R. не так много, отправиться в новые приключения по зоне отчуждения фанатам серии помогают моддеры. На днях состоялся релиз True Stalker — глобальной модификации, размер которой сопоставим с оригинальной игрой.

                               

                              Разработчик технологий для борьбы с киберпреступлениями F.A.C.C.T. (бывший Group-IB) сообщил изданию РБК, что мошенники придумали новый опасный метод кражи паролей для онлайн-банков, и рассказал, как от него защититься.

                               

                              Обладатели бюджетных моделей смарт-телевизоров от SberDevices обратили внимание на то, что с недавним обновлением программного обеспечения картинка стала не такой чёткой. Оказалось, что производитель умышленно понизил разрешение.