По словам исследователей из Сингапурского университета, ошибки в микросхемах угрожают многим медицинским устройствам, включая кардиостимуляторы.
Исследователи из Сингапурского университета технологий и дизайна (SUTD) сделали свое открытие случайно - в начале прошлого года они начали исследовать безопасность сетей Wi-Fi и после разработки предварительных процедур для этой технологии пришли к выводу, что их также можно использовать для тестирования Bluetooth. Они быстро нашли ошибки в реализациях Bluetooth Low Energy.
Эти нарушения, называемые SweynTooth, обнаруживаются в микрочипах (SoC). Поскольку существующие интегральные схемы часто используются производителями, ошибки могут быстро распространяться на множество различных устройств.
Обнаруженные недостатки не увеличивают угрозу сетевых хакерских атак. Хуже того, когда киберпреступник находится в зоне действия передатчика Bluetooth, он может атаковать устройство и даже, в крайних случаях, обходить режим безопасного сопряжения. В список устройств с потенциальным риском входит много умного дома и бизнес-оборудования, включая кардиостимуляторы или оборудование для мониторинга уровня глюкозы в крови.
Исследователи не комментируют методы атаки, они лишь предупреждают, что многие устройства могут содержать ошибки, которые могут быть использованы для сбоя функций связи или всего оборудования. Производители должны будут в отдельности протестировать каждый из своих чувствительных продуктов на основе микрочипов в будущем, чтобы определить, какие атаки практически осуществимы и какие исправления необходимо сделать. Исследователи предполагают, что производители считают, как хакер может связать уязвимости SweynTooth с другими возможными атаками.
Любое устройство, которое хочет использовать Bluetooth в качестве доступной функции и использовать логотип Bluetooth, проходит процесс сертификации для обеспечения совместимости между устройствами. В этом случае, однако, производители упустили из виду несколько основных процедур безопасности.
Ученые сообщили о семи уязвимостях производителям SoC. Texas Instruments, NXP, Cypress и Telink Semiconductor уже выпустили патчи. Dialog Semiconductors разработал обновления для одной из своих моделей SoC, но для других они появятся только через несколько недель. STMicroelectronics недавно подтвердила выводы исследователей, но пока не разработала обновление, Microchip, в свою очередь, похоже, не заинтересован в повышении безопасности, сообщают журналисты из Wired.com .
Уязвимости трудно использовать на практике, и они в разной степени подвержены воздействию отдельных устройств. Однако исследователи подчеркивают, что безопасность уже важна на уровне базовых компонентов.