Microsoft Azure by Ingram Micro (Thailand)

นักวิจัยพบช่องโหว่หลายรายการใน Bluetooth Low Energy

กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy (BLE) SDK ซึ่งเกิดจาก Vendor ที่ผลิต SoC (System-on-Chip) หลายเจ้าเช่น Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics และ Telink Semiconductor

credit : asset-group.github.io

ไอเดียก็คือปกติแล้วผู้ผลิตอุปกรณ์ IoT หรือ Smart Devices ได้ซื้อชิปสำเร็จ (SoC) จากบริษัทผู้ผลิตต่างๆ ข้างต้น ซึ่งบริษัทต้นทางเหล่านั้นจะให้ BLE SDK มาแล้วเพื่อให้นำไปใช้งานกับ BLE (โปรโตคอลที่ถูกออกแบบมาให้ใช้ไฟน้อยนิยมใช้กับอุปกรณ์มือถือและ IoT) ประเด็นคือกลุ่มนักวิจัยได้ทดสอบ SDK เหล่านั้นและพบกลุ่มช่องโหว่มากกว่า 10 รายการ โดยตั้งชื่อให้ว่า ‘SweynTooth’

จากรายงานช่องโหว่ SweynTooth สามารถแบ่งประเภทได้ 3 แบบตามตารางด้านบน (มีหมายเลขอ้างอิงและผลกระทบในผู้ผลิตรายต่างๆ) คือ ทำให้ทำงานผิดพลาด ทำให้อุปกรณ์รีบูตและเข้าสู่สภาวะ Deadlock และการลัดผ่านการป้องกันฟีเจอร์ด้านความมั่นคงปลอดภัย

โดยปัจจุบันนักวิจัยได้แจ้งแก่ผู้ผลิตแล้ว แต่ก็คาดว่ายังต้องใช้เวลาในการอัปเดตตามขั้นตอนอีกพักใหญ่ อย่างไรก็ตามจากการสืบค้นพบว่ามีผลิตภัณฑ์กว่า 480 รายการที่น่าจะได้รับผลกระทบจากช่องโหว่อย่าง อุปกรณ์อัจฉริยะต่างๆ อุปกรณ์ทางการแพทย์ ซึ่งกระทบกับผลิตภัณฑ์ของแบรนด์ดัง เช่น FitBit, Samsung และ Xiaomi ด้วย อย่างไรก็ตามช่องโหว่นี้ไม่สามารถถูกใช้ผ่านอินเทอร์เน็ตได้เพราะจะต้องเข้าไปในระยะของ BLE เท่านั้น ถึงอย่างนั้นผู้ใช้งานก็ควรติดตามอัปเดตครับ ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ของนักวิจัย 

ที่มา :  https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/ และ  https://www.securityweek.com/sweyntooth-bluetooth-vulnerabilities-expose-many-devices-attacks

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย

Google ยกระดับ URL Protection บน Chrome ให้เป็นแบบเรียลไทม์

Google ประกาศเปิดตัว Safe Browsing ที่เพิ่มความสามารถในการป้องกันภัยคุกคามและรักษาความเป็นส่วนบุคคลได้แบบเรียลไทม์สำหรับผู้ใช้ Google Chrome ทั้งบน Desktop และ iOS รวมถึงอัปเดตฟีเจอร์ Password Checkup ใหม่บน …