Критические уязвимости в Bluetooth стеке OpenSynergy BlueSDK: риски и последствия
Эксперты по кибербезопасности выявили две критические уязвимости, затрагивающие протоколы Bluetooth стека OpenSynergy (BlueSDK). Обнаруженные дыры, известные как CVE-2024-45431 и CVE-2024-45432, представляют серьезную угрозу безопасности устройств, особенно в автомобильной промышленности, где BlueSDK применяется широко.
Описание выявленных уязвимостей
CVE-2024-45431 связана с неправильной проверкой идентификатора удаленного канала (CID) в L2CAP — протоколе управления логическим соединением и адаптации. Эта ошибка позволяет злоумышленникам получить несанкционированный доступ или вмешаться в Bluetooth-соединение, что может привести к манипуляциям данными или перехвату передачи.
Вторая уязвимость, CVE-2024-45432, касается протокола RFCOMM, где вызов функции с неверными параметрами способен вызвать сбой приложения или нарушить безопасность работы Bluetooth-связи.
Особенности BlueSDK и его значимость
BlueSDK — это встроенный модуль Bluetooth, поддерживающий широкий спектр профилей, включая:
- Advanced Audio Distribution Profile (A2DP);
- профиль дистанционного управления аудио/видео (AVRCP);
- и другие профили, используемые в различных устройствах.
Большое значение BlueSDK имеет в автомобильном секторе, где он обеспечивает совместимость с базовой (BR/EDR) и повышенной скоростью передачи данных, а также поддерживает режимы низкого энергопотребления. Интеграция этого стека в различные операционные системы делает его критически важным компонентом для многих производителей.
Распространение и сроки исправлений
Компания OpenSynergy официально подтвердила внедрение исправлений уязвимостей уже к сентябрю 2024 года. Однако процесс распространения патчей среди OEM-производителей автомобилей было отложено. Многие из них получили обновления только к июню 2025 года.
Такое задержание связано со сложностями цепочек поставок транспортных средств и спецификой процедур обновления программного обеспечения в автомобильной индустрии, что часто требует значительного времени для полноценного развертывания критических исправлений.
Влияние на индустрию и рекомендации
Потенциальное воздействие данных уязвимостей выходит за рамки автомобильного сектора, затрагивая широкий круг поставщиков и продуктов, использующих BlueSDK для реализации Bluetooth-функций. Это подчеркивает необходимость:
- повышения осведомленности среди разработчиков и производителей;
- принятия упреждающих мер по своевременному обновлению ПО;
- мониторинга безопасности устройств с поддержкой Bluetooth в различных индустриях.
Только комплексный подход и оперативное реагирование позволят снизить риски, связанные с эксплуатацией уязвимостей в Bluetooth-стеке OpenSynergy и защитить пользователей от потенциальных инцидентов безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критические уязвимости в Bluetooth BlueSDK угрожают безопасности устройств".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
