ADPT

นักวิจัยพบช่องโหว่หลายรายการใน Bluetooth Low Energy

กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy (BLE) SDK ซึ่งเกิดจาก Vendor ที่ผลิต SoC (System-on-Chip) หลายเจ้าเช่น Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics และ Telink Semiconductor

credit : asset-group.github.io

ไอเดียก็คือปกติแล้วผู้ผลิตอุปกรณ์ IoT หรือ Smart Devices ได้ซื้อชิปสำเร็จ (SoC) จากบริษัทผู้ผลิตต่างๆ ข้างต้น ซึ่งบริษัทต้นทางเหล่านั้นจะให้ BLE SDK มาแล้วเพื่อให้นำไปใช้งานกับ BLE (โปรโตคอลที่ถูกออกแบบมาให้ใช้ไฟน้อยนิยมใช้กับอุปกรณ์มือถือและ IoT) ประเด็นคือกลุ่มนักวิจัยได้ทดสอบ SDK เหล่านั้นและพบกลุ่มช่องโหว่มากกว่า 10 รายการ โดยตั้งชื่อให้ว่า ‘SweynTooth’

จากรายงานช่องโหว่ SweynTooth สามารถแบ่งประเภทได้ 3 แบบตามตารางด้านบน (มีหมายเลขอ้างอิงและผลกระทบในผู้ผลิตรายต่างๆ) คือ ทำให้ทำงานผิดพลาด ทำให้อุปกรณ์รีบูตและเข้าสู่สภาวะ Deadlock และการลัดผ่านการป้องกันฟีเจอร์ด้านความมั่นคงปลอดภัย

โดยปัจจุบันนักวิจัยได้แจ้งแก่ผู้ผลิตแล้ว แต่ก็คาดว่ายังต้องใช้เวลาในการอัปเดตตามขั้นตอนอีกพักใหญ่ อย่างไรก็ตามจากการสืบค้นพบว่ามีผลิตภัณฑ์กว่า 480 รายการที่น่าจะได้รับผลกระทบจากช่องโหว่อย่าง อุปกรณ์อัจฉริยะต่างๆ อุปกรณ์ทางการแพทย์ ซึ่งกระทบกับผลิตภัณฑ์ของแบรนด์ดัง เช่น FitBit, Samsung และ Xiaomi ด้วย อย่างไรก็ตามช่องโหว่นี้ไม่สามารถถูกใช้ผ่านอินเทอร์เน็ตได้เพราะจะต้องเข้าไปในระยะของ BLE เท่านั้น ถึงอย่างนั้นผู้ใช้งานก็ควรติดตามอัปเดตครับ ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ของนักวิจัย 

ที่มา :  https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/ และ  https://www.securityweek.com/sweyntooth-bluetooth-vulnerabilities-expose-many-devices-attacks


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Kaseya ได้รับ Master Decryptor ถอดรหัส REvil Ransomware แล้ว

Kaseya ได้รับ Master Decryptor ถอดรหัส REvil Ransomware แล้ว พร้อมส่งมอบให้ลูกค้าที่ถูกเรียกค่าไถ่นำไปถอดรหัส

Apple ประกาศแพตช์อุดช่องโหว่ให้หลากหลายผลิตภัณฑ์ แนะผู้ใช้เร่งอัปเดต

มีการอัปเดตเวอร์ชันใหม่ของ iOS, macOS, iPadOS, watchOS, tvOS และ Safari ซึ่งแต่ละผลิตภัณฑ์มีการแก้ไขช่องโหว่หลายรายการที่ผู้ใช้งานไม่ควรพลาดการอัปเดต