นักวิจัยพบช่องโหว่หลายรายการใน Bluetooth Low Energy

กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy (BLE) SDK ซึ่งเกิดจาก Vendor ที่ผลิต SoC (System-on-Chip) หลายเจ้าเช่น Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics และ Telink Semiconductor

ไอเดียก็คือปกติแล้วผู้ผลิตอุปกรณ์ IoT หรือ Smart Devices ได้ซื้อชิปสำเร็จ (SoC) จากบริษัทผู้ผลิตต่างๆ ข้างต้น ซึ่งบริษัทต้นทางเหล่านั้นจะให้ BLE SDK มาแล้วเพื่อให้นำไปใช้งานกับ BLE (โปรโตคอลที่ถูกออกแบบมาให้ใช้ไฟน้อยนิยมใช้กับอุปกรณ์มือถือและ IoT) ประเด็นคือกลุ่มนักวิจัยได้ทดสอบ SDK เหล่านั้นและพบกลุ่มช่องโหว่มากกว่า 10 รายการ โดยตั้งชื่อให้ว่า ‘SweynTooth’

จากรายงานช่องโหว่ SweynTooth สามารถแบ่งประเภทได้ 3 แบบตามตารางด้านบน (มีหมายเลขอ้างอิงและผลกระทบในผู้ผลิตรายต่างๆ) คือ ทำให้ทำงานผิดพลาด ทำให้อุปกรณ์รีบูตและเข้าสู่สภาวะ Deadlock และการลัดผ่านการป้องกันฟีเจอร์ด้านความมั่นคงปลอดภัย

โดยปัจจุบันนักวิจัยได้แจ้งแก่ผู้ผลิตแล้ว แต่ก็คาดว่ายังต้องใช้เวลาในการอัปเดตตามขั้นตอนอีกพักใหญ่ อย่างไรก็ตามจากการสืบค้นพบว่ามีผลิตภัณฑ์กว่า 480 รายการที่น่าจะได้รับผลกระทบจากช่องโหว่อย่าง อุปกรณ์อัจฉริยะต่างๆ อุปกรณ์ทางการแพทย์ ซึ่งกระทบกับผลิตภัณฑ์ของแบรนด์ดัง เช่น FitBit, Samsung และ Xiaomi ด้วย อย่างไรก็ตามช่องโหว่นี้ไม่สามารถถูกใช้ผ่านอินเทอร์เน็ตได้เพราะจะต้องเข้าไปในระยะของ BLE เท่านั้น ถึงอย่างนั้นผู้ใช้งานก็ควรติดตามอัปเดตครับ ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ของนักวิจัย 

ที่มา :  https://www.zdnet.com/article/unknown-number-of-bluetooth-le-devices-impacted-by-sweyntooth-vulnerabilities/ และ  https://www.securityweek.com/sweyntooth-bluetooth-vulnerabilities-expose-many-devices-attacks