พบช่องโหว่ใหม่บนบลูทูทูที่ยังไม่มีแพตช์ ใช้โจมตีอุปกรณ์ใกล้เคียงได้

Bluetooth SIG ซึ่งเป็นองค์กรที่ดูแลการพัฒนามาตรฐานบลูทูทนั้น ได้ออกประกาศเมื่อวันพฤหัสที่ผ่านมาถึงผู้ใช้และผู้จำหน่ายทั้งหลายเกี่ยวกับช่องโหว่ที่ยังไม่มีการออกแพตช์แก้ไข ซึ่งมีโอกาสทำให้อุปกรณ์หลายร้อยล้านเครื่องทั่วโลกตกอยู่ในความเสี่ยง

ช่องโหว่นี้ถูกค้นพบโดยทีมนักวิจัยอิสระจากสถาบันศึกษาสองแห่ง เป็นช่องโหว่ที่อยู่ในส่วนของ Cross-Transport Key Derivation (CTKD) บนอุปกรณ์ที่รองรับทั้งมาตรฐานแบบ Basic Rate/Enhanced Data Rate (BR/EDR) และ Bluetooth Low Energy (BLE)

โดย Cross-Transport Key Derivation (CTKD) เป็นส่วนประกอบของเทคโนโลยีบลูทูทสำหรับเจรจาของคีย์ยืนยันตัวตนระหว่างแพร์อุปกรณ์บลูทูทสองเครื่องเข้าด้วยกัน หรือที่เราเรียกว่าเป็นอุปกรณ์แบบ “Dual-mode”

ช่องโหว่นี้ถูกตั้งชื่อว่า ‘BLURtooth’ อยู่ภายใต้รหัส CVE-2020-15802 เป็นช่องโหว่บนอุปกรณ์ที่ใช้เทคโนโลยี Bluetooth 4.0 หรือ 5.0 ที่เปิดให้ผู้โจมตีเชื่อมต่ออุปกรณ์เป้าหมายที่อยู่ใกล้กันได้โดยสร้างคีย์ยืนยันตนใหม่ หรือลดความแข็งแกร่งของคีย์เข้ารหัส

ที่มา : THN

from:https://www.enterpriseitpro.net/blurtooth-new-vul-attack/