সংহত ব্লুটুথ বৈশিষ্ট্য ছাড়াই পিসির উদাহরণ
থেকে একটি প্রতিবেদন অনুযায়ী দ্য হ্যাকারনিউজ সুরক্ষা গবেষকরা ব্লুটুথ চিপগুলিতে একটি নতুন দুর্বলতা খুঁজে পেয়েছেন যা লক্ষ লক্ষ ব্যবহারকারীকে দূরবর্তী আক্রমণে সম্ভাব্যভাবে প্রকাশ করতে পারে। ইস্রায়েলি সুরক্ষা সংস্থা আর্মিসের গবেষকরা এই দুর্বলতা আবিষ্কার করেছিলেন এবং এখন এটি ডাব করা হয়েছে রক্তক্ষরণ ।
প্রথম দুর্বলতা হিসাবে চিহ্নিত করা হয়েছে CVE-2018-16986 এবং টিআই চিপগুলিতে বিদ্যমান সিসি 2640 এবং সিসি 2650 । দুর্বলতা সিসকো এবং মেরাকির ওয়াই-ফাই অ্যাক্সেস পয়েন্টগুলিকে প্রভাবিত করে এবং ব্লুটুথ চিপগুলিতে লুফোলটির সুবিধা গ্রহণ করে। দুর্বলতা আক্রমণকারীদের এই চিপটিকে মেমরির দুর্নীতি ঘটাতে এবং একটি আক্রমণকারীকে একটি প্রভাবিত ডিভাইসে দূষিত কোড চালানোর অনুমতি দেয় over
প্রথমে আক্রমণকারী একাধিক সৌম্য বিএলই সম্প্রচার বার্তা প্রেরণ করে, বিজ্ঞাপন প্যাকেটগুলি, যা লক্ষ্যযুক্ত ডিভাইসে দুর্বল বিএলই চিপের স্মৃতিতে সংরক্ষণ করা হবে।
এরপরে, আক্রমণকারী ওভারফ্লো প্যাকেট প্রেরণ করে, যা একটি সূক্ষ্ম পরিবর্তন সহ একটি স্ট্যান্ডার্ড বিজ্ঞাপন প্যাকেট its এটির পরিবর্তে তার শিরোনামের একটি নির্দিষ্ট বিট চালু হয়। এই বিটের ফলে চিপটি প্যাকেট থেকে সত্যিকারের প্রয়োজনের চেয়ে অনেক বড় জায়গা বরাদ্দ দেয়, প্রক্রিয়াটিতে সমালোচনামূলক মেমরির একটি ওভারফ্লো ট্রিগার করে।
দ্বিতীয় দুর্বলতা সিভিই-2018-7080 হিসাবে চিহ্নিত হয়েছে, সিসি 2642 আর 2, সিসি 2640 আর 2, সিসি 2640, সিসি 2540, এবং সিসি 2541 টিআই-তে থাকে এবং আরুবার ওয়াই-ফাই অ্যাক্সেস পয়েন্ট সিরিজ 300 কে প্রভাবিত করে This ব্যবহারকারী এটি সম্পর্কে না জেনে আপডেট করুন।
ডিফল্টরূপে, ওএডি বৈশিষ্ট্যটি সুরক্ষিত ফার্মওয়্যার আপডেটগুলিকে সম্বোধন করতে স্বয়ংক্রিয়ভাবে কনফিগার করা হয় না। এটি GATT লেনদেনের উপর BLE চিপে চলমান ফার্মওয়্যারের একটি সাধারণ আপডেট মেকানিজমকে অনুমতি দেয়।
কোনও আক্রমণকারী একটি দুর্বল অ্যাক্সেস পয়েন্টে বিএলই চিপের সাথে সংযোগ স্থাপন করতে পারে এবং আক্রমণকারীর নিজস্ব কোড সম্বলিত একটি দূষিত ফার্মওয়্যার আপলোড করতে পারে, কার্যকরভাবে তার অপারেটিং সিস্টেমটিকে সম্পূর্ণরূপে পুনরায় লেখার অনুমতি দেয়, যার ফলে এটির উপর সম্পূর্ণ নিয়ন্ত্রণ অর্জন করে।
সুসংবাদটি হ'ল সমস্ত দুর্বলতাগুলি আর্মিস দ্বারা জুন 2018 সালে দায়বদ্ধ সংস্থাগুলিকে জানানো হয়েছিল এবং তখন থেকেই তা প্যাচ করা হয়েছে। তদতিরিক্ত, সিসকো এবং আরুবা উভয়ই উল্লেখ করেছে যে তাদের ডিভাইসগুলিতে ডিফল্টরূপে ব্লুটুথ অক্ষম রয়েছে। কোনও বিক্রেতাই বন্যের মধ্যে এই শূন্য-দিনের দুর্বলতার যে কোনওটিকে সক্রিয়ভাবে কাজে লাগানোর বিষয়ে সচেতন নয়।
ট্যাগ ব্লুটুথ সুরক্ষা ক্ষতিগ্রস্থতা
