9:30
15/9/2017

Odkryto potężny problem z implementacją protokołu Bluetooth, który dotyczy ponad 5,3 miliarda urządzeń, laptopów (zarówno z Windowsem jak i Linuksem), smartfonów (Androida i iOS, choć w przypadku Apple problem dotyczy obecnie tylko 10% klientów), ale także urządzeń IoT, telewizorów czy samochodów. Jest więc bardzo prawdopodobne, że jeśli któreś z Twoich urządzeń ma włączonego BlueTootha a nie pracuje pod kontrolą aktywnie rozwijanego i aktualizowanego systemu operacyjnego, to można je zhackować. Co gorsza atakujący wcale nie musi się wcześniej parować z urządzeniem, które chce zaatakować — zdalne przejęcie urządzenia jest możliwe, jeśli tylko znajduje się ono w zasięgu nadawanego przez włamywacza “złośliwego” sygnału BlueTooth.

BlueBorne

Dziurze, a tak naprawdę 8 podatnościom na różne platformy, nadano nazwę BlueBorne. Trzy z podatności są krytyczne — pozwalają na przejęcie kontroli nad urządzeniem i wykonanie na nim złośliwego kodu a także na ataki Man in the Middle, czyli przechwytywanie komunikacji BlueTooth pomiędzy urządzeniami. Techniczny opis podatności znajdziecie w tym dokumencie, a poniżej krótkie wideo podsumowujące istotę problemu:

Na dokładkę, jak informują badacze z firmy Armis którzy odkryli BlueBorne, podatności można zaimplementować w robaku, który sam będzie się rozprzestrzeniał pomiędzy hackowanymi urządzeniami. Czyli atak na lodówkę sąsiada wykonany przez fit-bransoletkę odwiedzającego go znajomego może spowodować infekcję Twojego samochodu. W pięknych czasach żyjemy… Co więcej, żadna z ofiar może się nie zorientować, że jest zhackowana, bo obecnie nikt nie monitoruje anomalii w ruchu Bluetooth. Firewall nie pomoże, endpoint-protection też.

I teraz najgorsza wiadomość. Niektóre z podatnych urządzeń nigdy nie otrzymają patcha, łatki, aktualizacji. Choć Armis zgłosił podatności do Apple, Google, Microsoftu i innych producentów, to część z urządzeń nigdy nie otrzyma poprawek, bo osiągnęły one “koniec wsparcia” (tzw. End-Of-Life). Przykładem jest zegarek Pebble. Armis szacuje, że niezałatanych pozostanie ok. 40% obecnych urządzeń z BlueTooth.

Jak widać, wiele Androidów, ze względu na totalnie beznadziejny (a niekiedy nieistniejący) sposób dystrybucji aktualizacji, nigdy nie zostanie załatanych. Oto pokaz przejęcia urządzenia z Androidem za pomocą podatności BlueBorne:

BTW, zauważyliście, że od czasów Heartbleeda, badacze poszli krok naprzód jeśli chodzi o otoczkę informowania o błędach bezpieczeństwa? Już nie tylko logo, ale i filmy, animacje! ;)

Których urządzeń i w jakiej wersji dotyczy błąd?

Błąd dotyczy wszystkich wersji Androida (smartfonów, tabletów, gadżetów), chyba że urządzenie korzysta tylko z Bluetooth Low Energy. Google udostępniło aktualizacje we wrześniowym biuletynie bezpieczeństwa. Identyfikatory podatności dla Androida: CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785.

Wszystkie wersje Windowsa od Windows Vista są podatne. Microsoft po cichu zapatchował błąd w lipcowej poprawce na CVE-2017-8628, ale informacje o tym ujawnił dopiero w ten wtorek.

Wszystkie urządzenia z Linuksem korzystające z BlueZ są podatne na wyciek informacji, a wersje od 3.3-rc1 (z października 2011) są podatne na zdalne wykonanie kodu. Samsungowego Tizen OS też to dotyczy, gdyż bazuje na Linuksie. Identyfikatory podatności dla Linuksa: CVE-2017-1000251, CVE-2017-1000250.

Wreszcie, wszystkie iPhony, iPady i iPody do wersji iOS 9.3.5 są podatne (a AppleTV do wersji 7.2.2). Apple usunęło błąd wraz z udostępnieniem iOS 10. Identyfikatory podatności dla iOS CVE-2017-14315. Na chwilę obecną, wedle informacji z Apple, 90% urządzeń jest już globalnie załatanych, dzięki mechanizmowi automatycznych aktualizacji.

Oto pokaz ataku MiTM urządzenia z Windowsem:

…i smartzegarka na Linuksie, co pięknie obrazuje jak przez mikrofon można kogoś zdalnie podsłuchiwać:

Na razie badacze nie opublikowali kodów źródłowych exploitów, ale informują, że uczynią to niebawem. Póki co, ujawniają szczegóły błędów, aby zmusić tych producentów, którzy zignorowali ich prośby do wypuszczenia patchy. Spodziewamy się jednak, że za chwilę ktoś zreversuje łatki, które wydał Microsoft, Android, Linux i iOS, i pojawi się nieoficjalny exploit. Dlatego jak naszybciej zaaplikujcie poprawki i przekonajcie do tego swoich znajomych!

Mam urządzenie z Bluetooth — co robić, jak żyć?

Jeśli nie posiadasz urządzenia które zawiera powyżej wypisane aktualizacje, to jak najszybciej:

  • Wyłącz Bluetooth (do czasu kiedy wgrasz patcha, o ile producent Twojego sprzętu jeszcze istnieje i udostępni poprawkę). Samo wyłączenie trybu “discoverable” nie wystarczy. Bluetooth musi być radiowo całkowicie nieaktywny.

Aby się dowiedzieć, czy Twoje urządzenie z Androidem lub inne w okolicy z Bluetoothem mają już wgrane poprawki, możesz pobrać i uruchomić tę aplikację.

PS. Jest też dobra strona tego błędu. W końcu będzie można zdalnie wyłączyć te bluetoothowe głośniki dzieciakom hałasującym na ulicy i w autobusach.

Przeczytaj także:

193 komentarzy

Dodaj komentarz
  1. I co z tych aktualizacji jak samsung nie wydaje ich nawet dla a5(16). O polskich operatorach nie mówiąc

    • Nawet na S7 nie ma póki co poprawek.

    • chciales chyba powiedzieć dla A3(17)…

    • samsung olal temat

      “A Coordinated Disclosure

      Armis reached out to the following actors to ensure a safe, secure, and coordinated response to the vulnerabilities identified.

      Google – Contacted on April 19, 2017, after which details were shared. Released public security update and security bulletin on September 4th, 2017. Coordinated disclosure on September 12th, 2017.
      Microsoft – Contacted on April 19, 2017 after which details were shared. Updates were made on July 11. Public disclosure on September 12, 2017 as part of coordinated disclosure.
      Apple – Contacted on August 9, 2017. Apple had no vulnerability in its current versions.
      Samsung – Contact on three separate occasions in April, May, and June. No response was received back from any outreach.
      Linux – Contacted August 15 and 17, 2017. On September 5, 2017, we connected and provided the necessary information to the the Linux kernel security team and to the Linux distributions security contact list and conversations followed from there. Targeting updates for on or about September 12, 2017 for coordinated disclosure.

    • Odpowiedz od Samsunga w tej sprawie dosc krotka, nie chcieli odpowiedziec na wiecej pytan:
      “Dzień dobry,

      Nasz komentarz : Firma Samsung przywiązuje dużą wagę do bezpieczeństwa użytkowników. Zostaliśmy poinformowani przez Google o zagrożeniu i 30 sierpnia rozpoczęliśmy udostępnianie aktualizacji oprogramowania, które chroni przed BlueBorne. Zachęcamy wszystkich użytkowników do instalacji najnowszych aktualizacji bezpieczeństwa.

      Pozdrawiam,

      Olaf Krynicki”

    • A mówili kup Xiaomi :D

    • Xiaomi nie ma poprawek jeszcze. Jedynie dev nawet eu ROM tylko w rozwojowej. Inna rzecz, że nawet rozwojowy eu przechodzi już safety net także nie ma co innego softu używać.

  2. Nie mam jak obejrzeć filmików, więc wybaczcie, jeśli w nich znajduje się odpowiedź na moje pytanie, ale czy do urządzeń nie jawnych też można się dobrać, czy są względnie bezpieczne?

    • A mają włączony bluetooth i firmware oprogramowania poniżej wersji wskazanych w artykule?

    • żaden z filmów nie pokazuje jak te podatności działają -to tylko reklama nowego robaka ;), w szczególności czy urządzenia z ukrytym identyfikatorem można zmusić do ujawnienia tego identyfikatora – ewentualnie czy możliwy jest atak na urządzenie nie znając danych tego urządzenia.

    • Ubertooth, Bluesniff, da się.

  3. No i chyba trzeba będzie odłączyć smart opaskę :>
    Chociaż Xiaomi ma raczej refleks jeśli chodzi o update :)

    • Xiaomi Mi Band * obsługuje tylko BLE, więc jest bezpieczny

    • Mi Band być może obsługuje tylko BLE ale jest jeszcze urządzenie z drugiej strony, które musi mieć włączony bluetooth.

  4. Co właśnie z tymi głośnikami? Jak zostaną przejęte, to będą mogły infekować sparowane z nimi urządzenia, nawet po wgraniu poprawek?

    • Pytanie jak wgrasz poprawki do głośników…

    • Nie wgra poprawek do głośników, ale do telefonu już tak – co wtedy?

    • Przejąć na plaży wszelkie głośniki bezprzewodowe i puścić ścieżkę dźwiękową z filmu dla dorosłych… hmmmm…

    • Poprawki do głośników bt wgrywa się przez bt, aplikacją dostarczają przez producenta. Przynajmniej do mojego JBL już raz wgrywałem.

  5. Ale będzie jazda bez trzymanki teraz …

  6. A co z samochodami? Wykorzystują bluetooth miedzy innymi do komunikacji telefonsystem audio samochodu. Czy oprogramowanie samochodu nie powinno zatem być zaktualizowane? Wiadomo że jeżeli auto nie ma dostępu do internetu to takiej aktualki sobie samo nie zainstaluje? Zatem akcja serwisu, jak to wygląda od strony prawnej jeżeli auto jest w miarę nowe można na serwisie/producencie wymusić dogranie nowego softu w związku z wyciekiem informacji o podatności.

    • Wczoraj zauważyłem w tegorocznym Audi jakieś błędy w wyswitlaniu funkcji (HUD zniknął, pojawil sie dopiero po pełnym “restarcie” auta, potem tego samego dnia zniknęła mapa Google oraz lista stacji radiowych, ponownie pomógł “restart”). Sądzicie, że to pierwsze objawy?

    • Tez wczoraj zauwazylem w ubieglorocznym Lexusie dziwny widok przy odpaleniu auta, progress bar przez dluzszczy czas, tak jakby sie instalowala aktualizacja. Ale nie bylem w serwisie, a z tego co wiem Lexy nie maja aktualizacji powietrzem wiec dziwne.

      No ale chyba nie jest to jeszcze powod do paniki, w serwisie pewnie mi powiedza w stylu “Panie to tak czasem jest”.

      Jak napisalem do centrali Toyota Polska, to mi odpisali ze komunikacja bluetooth auta leci przez super bezpieczne serwery Lexusa wiec, z Pania raczej nie pogadam.

  7. Czyli windows mobile bezpieczny?

    • Tak, wg Microsoftu błąd nie dotyczy Windows Phone. Ty i ta druga osoba, która korzysta z WP możecie teraz spać spokojnie ;)

    • Bardzo śmieszne Piotrze! :P Ja korzystam z WP10 i jest w porządku. Nie mówię, że jest super ale też ciężko na niego narzekać. W sumie akurat użytkownicy WP10 mogą spać spokojnie a Wy nie! :P

    • Ale WP to nie WM, WM był wcześniej skończył się na wersji 6.5.

    • No i mamy wszystkich użytkowników WP w jednym miejscu ))

    • @k: nieprawda, przy wersji 10 wrócili do nazwy “windows 10 mobile”.

    • Zamiast wyposażyć się w telefon i komputer od Apple to siedzisz na tym gorszym.
      Czas najwyższy przenieść się tak jak pan Piotr na iOS i OSX – tylko 10 % :)

  8. A co z systemami operacyjnymi samochodow, ktore maja bluetooth? Mozna przejac kontrole nad samochodem? Otworzyc go bez uzycia pilota?

    • Tak

    • A po co otwierać i co z tym potem zrobić?
      Za jakiś czas pewnie pojawi sie BlueBorneCry wyświetlające na wyświetlaczu radia adres BitPortfela, auto będzie w trybie serwisowym jechać 30km/h, a pod każdym ASO będzie stało kilkaset samochodów.
      Taka samochodowa apokalipsa.

    • Te co chodzą pod linuxem mają problem. Teraz pytanie ile nie chodzi pod linuxem? Myślę, że można bezpiecznie założyć, że żaden producent nie wyda kasy na licencję komercyjnego (RT)OSa, Pocieszyć może fakt, że zainfekowany infotainment *raczej* nie przejmie reszty samochodu.

    • Sprawdzenie Toyoty Auris z 2016 dalo wynik negatywny, wiec albo tej dziury tam nie bylo, albo sie zaktualizowal albo apka klamie.
      Sprawdzalem z telefonu Cat s60, do ktorego nawiasem mowiac nie raczyli wydac latek.

      Juz oczami wyobrazni widze scene jak z Terminatora – auto samo odjezdza w sina dal :-)

  9. Na MiBanda2 właśnie wyszła aktualizacja firmware. Nie mam pewności, że akurat odnośnie tej kwestii ale wszystko na to wskazuje.

  10. A co z pompami insulinowymi firmy Medtronic? One posługują się protokołem bluetooth między pompą a czujnikiem czy glukometrem. Komunikacja jest zabezpieczona PINem ale czy to wystarczy? Żeby mnie ktoś nagle nie ubił śmiertelną dawką :D

    • Zależy od tego na jakim OS oparto działanie tego środowiska. Rozsądne byłoby chociaż ustawienie urządzenia tak, aby “pikało” jak podaje dawkę, albo w inny sposób informowało, że nie działa/działa inaczej niż standardowo.

    • Nie bój się, chronione są też tajemnicą adwokacką i słowem honoru. Poza tym jak dadzą Ci taką dawkę, to uśniesz, że nie poczujesz.

  11. Panikę siejecie, a nie wiem czy ktokolwiek ma niezaktualizowanego ajfona. Martwi mnie ten pebble – czy jeśli telefon mam załatany a zegarek nie to można mi się włamać na telefon czy tylko na zegarek? Na stronie o podatności za dużo nie napisali na ten temat.

    • To samo pomyślałam co do iPhone’ów. Już prawie spanikowałam, bo mam BT zawsze włączony (zegarek/telefon/laptop są zawsze połączone dla wygody), ale jednak doczytałam. ;)

    • Mnie też temat Pebble interesuje. W artykule jest info, że problem nie dotyczy urządzeń wyłącznie Low Energy, a takim Pebble jest. Sprawdziłem teraz na apce Aramisa swojego Pebble Time Round i zgłosiła “Low risk”. Pytanie czy to też oznacza “no risk” :-) Ktoś może potwierdzić?

  12. A czy ta aplikacja do sprawdzania podatności podana na końcu artykułu nie jest sama koniem trojańskim?

    • W Google Play Store wszystko jest możliwe :D

  13. Co jeżeli Bluetooth jest włączony ale nie jest w trybie “discoverable” ? Dalej podatny?

  14. OK. Już widze że nie musi być: The attack does not require the targeted device to be set on discoverable mode or to be paired to the attacker’s device.

  15. A co z Unixami?

    • Unixy nie są już wspierane ;)

    • Ubuntu twierdzi, że (stan na 12 września) testuje poprawkę. Dość dziwne, że skaner pokazuje zarówno Win7 jak i Ubuntu na żółto.

  16. Samsung S8+że wszystkimi aktualizacjami pokazuje że Vulnerable. Spoko

  17. Wina leży po stronie standardu czy OSów, które go implementują ? Czy jak chcę napisać swoją aplikację korzystająca z modułu bluetooth powinienem zastrzec że aplikacja jest bezpieczna na nowszych OSach, lub spróbować załatać dziurę na poziomie aplikacji?

  18. Samsung Galaxy S7. Mam najnowsze wszystko i aplikacja mówi, że jest podatny.

  19. O proszę. Huawei Honor 7 ma dziurę. Całe szczęście nie używam Bluetooth

  20. W jaki sposób hipotetyczny robak będzie się rozprzestrzeniał między urządzeniami BT? Podlinkowany dokument tego nie opisuje. Jest tam jedynie metoda zdobywania adresu fizycznego urządzenia BT w pobliżu przy pomocy sniffera BT. No więc mamy ten adres fizyczny, możemy użyć exploitu na konkretną podatność w konkretnym urządzeniu. OK, i co dalej? Jak “zarażone” urządzenie będzie wykrywać kolejne cele do ataku?

    • Mając dostęp do systemu operacyjnego ofiary, atakującego ogranicza tylko wyobraźnia. To o czym mówisz rozwiązuje klasa BluetoothAdapter, posiada metody, dzięki którym możemy znaleźć urządzenia Bluetooth w pobliżu wraz z ich adresem fizycznym. Pozdrawiam.

    • Z tego, co znalazłem metoda startDiscovery wykrywa jedynie urządzenia w trybie “discoverable”, tak że pole manewru jest ograniczone. Ogólnie jest chyba tak, że standardowe implementacje stosu BT (takie, jak są w fabrycznych urządzeniach) nie pozwalają na przechwytywanie komunikacji pomiędzy obcymi urządzeniami. Do tego trzeba właśnie snifferów BT w stylu Ubertootha.
      Jeśli atakujący dobierze się do smartfonu czy innego urządzenia z systemem operacyjnym to się zgodzę, że możliwości są ogromne. Ale co ze słuchawkami, klawiaturami itp. – jak i gdzie tu wsadzić kod który by sam wyszukiwał następne cele? A to właśnie sugerują autorzy badania.

    • Też widzę nieco hurra-optymizmu w opisie tego ataku. Bo ok, w przypadku smartfonów, gdzie OS jest znany, a platform sprzętowych nie jest wiele, można łatwo wyobrazić sobie skuteczne i szkodliwe ataki. Ale co w przypadku urządzeń mających nietypowe platformy sprzętowe, czy oprogramowanie”custom”, czytaj nie Android, iOS, czy np. Linux. Żeby napisać złośliwy kod na takie cudo, ktoś musiałby znać platformę, mapę pamięci, wiedzieć do czego można się tam dobrać z poziomu oprogramowania itd. A więc zasięg ataku w przypadku takich urządzeń będzie w praktyce minimalny – m.in. ze względu na zerową opłacalność przygotowania trojana/exploita na dany sprzęt. To samo dotyczy aut, w których BT daje wyłącznie możliwość korzystania z zestawu głośnomówiącego, bez dostępu do sterowania innymi podsystemami pojazdu.

  21. Dacie znać co z samochodami i oprogramowaniem?

  22. Dzisiaj włąśnie spatchowali bluez
    http://www.bluez.org/release-of-bluez-5-47/

  23. Pytanie do obeznanych, mam zamiar kupić sobie zestaw mysz + klawiatura Microsoft Designer: https://www.microsoft.com/accessories/pl-pl/products/keyboards/designer-bluetooth-desktop/7n9-00008#devkit-highlights – czy możliwym jest, żeby jakiś haker zaczął mi przechwytywać komunikację bluetooth z tych urządzeń i np. widział ruchy myszki albo co wpisuję na klawiaturze?

  24. Mam playstatation, pad komunikuje się z konsolą za pomocą BT co robić, jak żyć? :(

    • Da się grać pilotem TV ;)

    • Właśnie też zacząłem się zastanawiać. PS4 jest tak cudowanie bezobsługowe, że w takiej sytuacji można co najwyżej wyjąć wtyczkę z gniazdka.

    • Da się grać przewodowo, podłączając pady po kablu ;)

  25. Apple jakos nie ma problemow z patchowaniem – google jak zwykle ma mega problem. Jednak warto wydac 1000$ na telefon z bezpieczny system (iOS), ktory przez prawie 5 lat ma regularne aktualizacje. Z Androidem jest roznie i jestesmy zalezni od producenta :(

    • Tak sobie wmawiaj…
      Mam ipada 3rd gen, sprzęt w bdb stanie ale soft już niewspierany…
      No i mam nexusa 5x który cały czas jest wspierany.

    • Ja tam widzę że poprawka jest zawarta w Wrześniowej paczce bezpieczeństwa.
      To jak producenci podchodzą do tematu jest skandaliczne.
      Z drugiej strony mam na Samsungu wersję z Sierpnia, więc zaledwie 1 miesiąc w tył. Jest spora szansa że szybko wypuszczą łatki.

    • @Pete: iPad 3rd gen był wydany w 2012 roku. Nexus 5X – w 2015 roku. Trzy lata różnicy. Za to iPad 4rd gen, wydany pod koniec 2012 roku jest wspierany do dziś. I wszystkie kolejne po nim.

    • To nie Google jest takie złe, tylko producenci. Apple ma do patchowania kilka modeli, a Android działa od Samsunga przez LG, HTC do jakichś Xiaomi. Urządzenia brandowane Google są bezpieczne.

    • Kolego xxx, “jakieś” Xiaomi mają cotygodniowe aktualizacje systemu dla wersji beta i regularne wersje stable. Poprawki bezpieczeństwa systemu są dostarczane wszystkim użytkownikom w ciągu kilku dni od ich premiery.

  26. Biznes to szmata ! W dobie wbudowanej baterii w smarfonach ten problem sam się zaktualizuje…do dwóch lat :]

  27. Hej, a co z macbookami? Są podatne?

  28. Co z urządzeniami typu zestaw głośnomówiący np. Jabra Drive? Takie urządzenia też będą podatne, czy to tylko urządzenia oparte o Unixa/Win/Apple Os?

  29. Jaja to będą, jeśli się okaże, że ta apka do szukania podatności sama umieszcza trojana oraz informuje twórców, gdzie się to udało. :) Szkoda, że grzęznę w innym projekcie i nie chce mi się teraz debugować, ale jeśli ktoś coś znajdzie, dajcie znać. :D

  30. No to zaje…cie :-(
    Mam od paru miesięcy taki problem, że “coś” regularnie włącza mi BT na chwilę, bez mojej zgody. Nie potrafię znaleźć co. Przeszukiwałem po uprawnieniach – nic… Jakieś pomysły?

    • LG G3, Android 6.0

    • Yanosik?

    • Janosik

    • Mam podobnie. Wydaje mi się, że aplikacja od opaski fitness ściąga z niej dane nawet jak mam ręcznie wyłączone BT, więc musi jakoś sama włączać

    • Miałam tez taki problem w galaxy s6. Okazało się, że jakaś aktualizaja yanosika automatycznie uruchamiała sobie bluetooth. Zmieniłam ustawienia apki i pomoglo.

    • U mnie to był Yanosik. Teraz po zakończeniu użytkowania zatrzymuje proces… do następnej podróży.

    • Może Yanosik? Na 99% u mnie problem zniknął po wywaleniu go.

    • A masz zainstalowanego Yanosika? Ja kiedyś miałem z nim podobny problem, po aktualizacji pojawiła się domyślnie włączona funkcja komunikacji z modułem Bluetooth w samochodzie, o której nie wiedziałem.

    • Sprawdź Yanosik w opcjach BLUETOOTH czy nie masz włączonego Yanosik Connect.

    • Mialem ten sam problem, i okazalo sie ze zgodnie z tym co podpowiedzieli koledzy powyzej byl to Yanosik. Dzieki za pomoc! :)

    • A próbowałeś sprawdzić Yanosika?

    • U mnie też pomogło wyłaczenie Yanosik Connect. Dzięki!

  31. Jaki procent społeczeństwa wie, że jego BT jest nieodporny na przejęcie? – znikomy. Niestety jeśli dobrze wszystko rozumiem, w chwili obecnej najlepiej powstrzymać się całkowicie od korzystania, by nie zostać zarażonym… A to oznacza epidemię na miarę AIDS i wirusa HIV, a dla setek tysięcy ludzi na całym świecie straty sięgające wielu mld dolarów. Co robić jak żyć by nie zostać zarażonym i jednocześnie korzystać z urządzeń do których nie ma aktualizacji…?

  32. A więc tego używał Aiden Pearce z Watch Dogs :D

    • Pomyślałem o tym samym ^^

  33. tak jaki pisal @zax na jednym z moich telefonow mialem taki issue, ze cos mi wlaczalo bt ale tylko jak byl w trybie uspienia, po czym jak wybudzialem przez ulamek sekundy widzialem ikione bt a potem znikala, Czasem to znikanie nie dzialalo i mialem wlaczony bt jak wybudzialem telefon chociaz go nie uzywalem w ogole. Po zabiciu procesow na amen przestalo to wystepowac. Moje podejrzenie padlo od razu na jakas podatnosc, jednak nic nie moglem jakis czas temu znalesc. W razie czego zmienilem jednak telefon na ios ;p dobrym powodbem byl brak zgody na odblokowanie go nawet dla sledztwa FBI :)

  34. Mój Nexus 6P nie jest podatny (Android 8 z aktualizacją wrześniową). Huawei P10 Lite podatny. Co ciekawe, Sony Xperia M2 LTE, który już dawno nie dostał żadnych aktualizacji, nie jest podatny (przynajmniej aplikacja Armis go nie wykrywa). Zegarek Huawei Watch z Android Wear 2.0 też nie jest wykrywany przez aplikację. Raspberry Pi 3 z OSMC i włączonym BT (sparowana klawiatura) również się nie pojawia.

    Laptop z BlueZ pojawia się jako Medium Risk. Chromecast Audio pojawia się jako Low RIsk. Oprócz tego znajduje mi po sąsiedzku telewizor Samsunga z High Risk.

  35. Mnie to nie dziwi, 1,5roku temu znajomy mi zademonstrował jak przejął mi telefon bez włączonego blutooth. Ten problem istnieje już długo.

    • No ale miałeś wyłączony bt, więc gdzie tu powiązanie?

  36. Czy klucz USB do klawiatury Logitech jest zagrożony?

    • Unifying? Nie, to zupełnie inny, własnościowy standard Logitecha.

    • Mowa o Logitech Unifying Receiver? One nie są kompatybilne z bluetooth.

  37. Duży pikuś jest jak masz BT w aucie i ma on dostęp do ECU

  38. A co z urządzeniami końcowymi – np. system głośnomówiący w samochodzie?

  39. W Androidzie łatka była częścią Android Security Bulletin—September 2017. Jeśli w Settings -> About Phone -> Android Security patch level ma wpis 1 September 2017 (lub nowszy), system jest załatany.

  40. Czyli mogę spać spokojnie. Symbian nie jest wymieniony na liście ‘dziurawych’ urządzeń.

  41. Od zawsze jak pamiętam miałem i mam wszędzie wyłączony BLUETOOTH. Jak potrzebuję to włączam sporadycznie na chwilę (np. przesyłanie małych plików i danych).

  42. Jak mam blutacza w Ducato to co mam zrobić?
    W serwisie fiata mi go załatają?

    • Sprawdziłem aplikacją:
      BlueBorne Vulnerability Scanner by Armis

      Radio SWING w Skoda Fabia:
      Low Risk

      Task samo z głośnikami EDIFIER R1700BT:
      Low Risk

      Przy okazji tą samą aplikacja znalazłem TV UE48J5500 (telewizor sąsiada)
      High Risk

    • tak, taśmą scotch

  43. Aplikacja skanująca nie wykryła ani mojego Pebble, ani dwóch laptopów na stole. Czy to oznacza, że są bezpieczne? Pebble?

    • Podejrzewam raczej, że nie są widoczne / discoverable.

  44. Właśnie, jak to jest z mniej popularnymi urządzeniami i systemami? I chodzi mi tu o rzeczy NIE oparte na jakimś niewidocznym dla użytkownika Linuxie. Na przykład stare batonikowe telefony, wnuczek zapomniał wyłączyć BT zanim oddał dziadkowi stary sprzęt? Rozumiem, skala ataku niewielka, bo nietypowe itp. ale na ile ta podatność ma szanse być bardziej powszechna, rozszerzona na systemy, o których badacze nie pomyśleli?

  45. BlackBerry Priv z Androidem 6.0.1 i wrześniową łatką bezpieczeństwa NIE jest podatny :)

  46. Pięknych czasów dożyliśmy… robi się coraz ciekawiej…

  47. Ktoś ma pomysł jak przy takiej skali problemu jednak wpłynąć na Samsunga aby wydali patche na starsze wersje telefonów jak np. S7 ;).
    Apple jak zwykle stanie na wysokości zadania. Natomiast porzucanie produktów typowe dla Samsunga, Microsoftu itp. w takiej sytuacji jest karygodne.
    Może jakaś instytucja państwowa lub unijna mogłaby wystąpić w imieniu milionów konsumentów którym jak widać dostarczono wadliwy towar.

    • S6 w górę dostaną security patch w ramach aktualizacji zasad bezpieczeństwa, niezależnie od aktualizacji oprogramowania. Możesz wymusić ręczne sprawdzenie: Ustawienia -> Ekran blokady i zabezpieczenia -> Inne ustawienia zabezpieczenia -> Usługa aktualizacji zabezpieczeń.

  48. > Na razie badacze nie opublikowali kodów źródłowych exploitów, ale informują, że uczynią to niebawem.

    Jakaś konkretna data? Szukałem na stronie aramis ale nie znalazłem nawet tego co wyżej

  49. Wszystko byłoby pięknie gdyby ot tak można wyłączyć bluetooth. Pomijając dyskomfort wynikający z rezygnacji z wielu urządzeń, jest masa aplikacji które albo same aktywują bluetooth albo posiadają wykupiony kod reklamowo-śledzący, który włącza BT kiedy mu się rzewnie podoba.

  50. Jak się czujesz niebezpieczniku z takimi czytelnikami – jak widać na komentarzach wyżej? Czy mój telefon XXX jest podatny, a co z moim mikserem i głośnikami na blutut. Zamiast samemu zweryfikować podatność skoro dostali CVE, to będą spamowali, głupimi pytaniami.

    Cena za popularność i pisanie dla mainstreamu. Pewnie czasami można nad tym poziomem zapłakać, ciekawe czy banknoty ze szkoleń i prelekcji wystarczają na otarcie łez. :D

  51. Zauważyłem od dwóch tygodni, że mój iPhone (ios11 beta) samodzielnie włącza bluetooth i wifi co jakiś czas. To może być ten atak?

  52. Zapytam o co innego: dlaczego linia z tagami pod tytułem nie jest złamana i rozjeżdża stronę?

  53. „Microsoft po cichu zapatchował błąd w lipcowej poprawce na CVE-2017-8628, ale informacje o tym ujawnił dopiero w ten wtorek.” Jakie samolubne chujki

  54. Tagi powodują na stronie przewijanie w poziomie.

    Nie wiem czy to faktyczny błąd, czy jakieś jaja znowu robicie, ale nie chce mi się sprawdzać.
    Pozdrawiam

  55. Jeżeli to faktyczny błąd a nie jaja, to moja przeglądarka to fx 55.0.2

  56. Co to jest ten Bluetooth i dlaczego w mojej Nokia 3310 go niema?

  57. Dlaczego aż 80% Linuxów miałoby być nienaprawialnych? To dziwne.

  58. To jest dobre…”Czyli atak na lodówkę sąsiada wykonany przez fit-bransoletkę odwiedzającego go znajomego może spowodować infekcję Twojego samochodu” . Przypomina mi to fragment z książki “zbrodnie przyszłości”

  59. Panie Piotrze, znalazłem sporo komentarzy od developerów, że problem jest trochę rozdmuchany i medialnym przedstawieniem. Czy można prosić o bardziej szczegółowe odniesienie się z krytycznej strony?

    Przykładowy komentarz:

    Blueborne, like most of these insanely over-hyped vulnerabilities, is less dangerous than they want you to believe… In order for it to work you must be actively paired and communicating with a another BT device… For example, in order to “take over your Android device” like they show in their video, your phone must be paired to a BT Mouse (and they can’t see the screen, so they need to know “where” the mouse is located, tougher than it looks), to view the files it must be paired for networking/file sharing, to access the camera directly it must be paired to as a camera, to access the media/audio it must be paired to a headset/headphones, etc. And I mean actively paired, just having BT turned on isn’t enough like they make it sound, the known exploits rely on simple BT MAC address spoofing of trusted devices, so if you are not actively paired to a device, it doesn’t work. The most common exploit would be hijacking the audio to your car or headset. which honestly hackers care very little about. This vulnerability doesn’t have the wide-sweeping exploit capability that Armis wants everyone to believe it has. I put this in the same category as the other vulnerabilities that threatened millions and millions of handsets over the last couple of years, in the fear mongering category because the real world exploits of those vulnerabilities are much tougher than they make them out to be.

    I worry about this one about as much as I did Quad-rooter, Certigate, Stagefright, or TowelRoot… in other words, I will continue with business as usual because unless you are a celebrity, politician, or other high-profile person a hacker would deem worth the amount of effort involved, there is nothing to really worry about.

    • Z tego dokumentu (http://go.armis.com/hubfs/BlueBorne Technical White Paper-1.pdf) wynika że jest to zdalne wykonanie kodu z prawami jądra bez parowania. To oznacza że z urządzeniem można zdalnie i bez wiedzy użytkownika zrobić wszystko.

      Autorzy piszą że przygotowanie exploitów jest trudne ze względu na złożoność stosu BT. Być może przy demonstracjach zastosowali uproszczenia, ale potencjał zostaje. Wystarczy jeden publicznie dostępny exploit żeby używanie niezałatanych urządzeń stało się bardzo niebezpieczne.

  60. Chrome OS wolny od tego gówna? :) Piotrze?

  61. Samsung (z klawiaturką i jakimś zamkniętym OS) – Vulnerable. Audi bluetooth not risk.

  62. Z tego co się orientuję to atak nie jest tak potężny na jaki się go kreuje. Sztuczka polega na podszyciu się pod faktycznie sparowane urządzenie czyli, jeśli mam włączony BT ale nigdy nie parowany to jest ok. Jeśli mam sparowane słuchawki to jasne można się podszyć ale to nie znaczy że dostajemy się do urządzenia z uprawnieniami systemu, mamy ograniczenie w tym przypadku do obsługi audio. Nie wiem jak będzie w przypadku dostępu do plików ale spodziewam się że do danych aplikacji nie dostaniemy się bez kolejnego np lokalnego exploitu podnoszącego uprawnienia. – Poprawcie mnie jeśli się mylę.

    Ta sprawa jest idealnym przykładem na to że telefon nie może służyć za urządzenie do 2FA! Takie 2FA to pozorne bezpieczeństwo … tylko klucze sprzętowe jak YubiKey mają jakiś sens, mam i polecam każdemu!

    • też mam YubiKey i polecam. czy można go używać w jakimś banku do 2FA?

    • Yubikey w banku to nie jest najlepsze rozwiazanie. Nie wiesz co podpisujesz.

    • Piotrze, co masz na myśli pisząc “Nie wiesz co podpisujesz.” ?

    • Pewnie chodzi o to że w SMSie masz:

      “Operacja z dnia … taka a taka konkretnie … na takie a takie konto”

      a w kluczyku musisz po prostu zatwierdzić – idealne przy podszywaniu się pod banki.

    • @djluke
      Są też takie bankowe SMSy z VISA Secure:

      Autoryzacja transakcji.
      Kod: 12345678. (tu nazwa banku).

      Koniec. Ani kwoty, ani opisu transakcji.

  63. Uzywam Note 3. Dostalem od Samsunga taka odpowiedz:
    “Szanowny Panie,

    Uprzejmie dziękuję za kontakt z Centrum Obsługi Klienta firmy Samsung.
    Rozumiem, że kontaktuje się Pan w sprawie zagrożenia Blueborne.
    Pragnę poinformować, iż firma Samsung zdaje sobie sprawę z zagrożenia lecz na tę chwilę nie jestem w stanie powiedzieć kiedy i czy będzie stosowna aktualizacja.

    Z chęcią udzielę odpowiedzi na ewentualne następne pytania.”

    Załamać się idzie. Aktualizacje zasad zabezpieczeń mam z… listopada 2015, jak mu każe zaktualizować, to twierdzi, że są najnowsze. Ktoś zna sposób na bezpieczne używanie BT w Samsung Galaxy Note 3? Jakiś customowy ROM? Jakaś apka security?

    • ROMów jest cała masa, w tym na bank LineageOS (dawny Cyanogen). Z tym że tracisz wtedy podsystem rysika bo wymaga Touchwiza, więc jeśli go używasz to wskazane rozwiązania pośrednie.

  64. p8 lite,poprawki wrzesień 2017 oczywiście odporny
    huawei ma dobre wsparcie :)

    • U mnie w p8 lite pokazuje “Poziom poprawki zabezpieczeń systemu Android: 1 lipca 2017”. To o tę informację chodzi?

    • Skąd masz poprawki z września dla p8 lite?

    • tak o to,mam te poprawki zainstalowane przez aplikacje firmawe finder(wersja systemu alel21c432b610 full ota)

    • dzięki. Standardowym kanałem Huawei mam dopiero -604

  65. Czy mac OS jest bezpieczny? Ani tutaj, ani na stronie armis ani słowa o mac OS / OSX.

  66. moje smartfony: xperia z5 compact oraz LG G2 podatne. całe szczęście że chociaż żarówka na bluetooth nie jest podatna :D

  67. Czy poza wyłączeniem Bluetooth, należy również wyłączyć w Androidzie funkcję “Skanowanie Bluetooth – Popraw dokładność lokalizacji, zezwalając aplikacjom i usługom systemowym na ciągle wykrywanie urządzeń Bluetooth” w ustawieniach lokalizacji?

  68. “jeśli mam włączony BT ale nigdy nie parowany to jest ok”
    To po co mieć włączony wtedy BT? Przecież po to są słuchawki, głośniki, opaski, samochody, żeby się z nimi automatycznie łączyć. Ubaw będzie jak ktoś sobie stanie na skrzyżowaniu i zacznie wyłączać samochody, bo zestaw to podobno obowiązek, a trudno włączać BT dopiero jak ktoś dzwoni.

    • zawsze można nieodbierać. Bezpieczeństwo jest ważniejsze.

  69. Dopiero co słyszałem “co wy tak płaczecie za tym portem mini jack w nowym iPhone skoro słuchawki BT są tanie i się z kablami nie męczysz?”.

  70. Heh, mam starego Samsunga Galaxy SIII. Już widzę te aktualizacje od Samsunga. ;-)
    Chyba czas wgrać Lineage OS…

    A na poważnie, to czy webOS z telewizorów LG też jest podatny?

  71. Mam rozrusznik serca, którego parametry wgrywane są po BT. Co robić? Jak żyć – dosłownie!

    • Zastanawiam się, czy czytałeś na czym polega ów “błąd” w Bluetooth.
      “Błąd” nie występuje w Bluetooth jako protokole/specyfikacji tylko w konkretnych implementacjach. Z resztą to nie jeden “błąd”, a wiele różnych błędów, na różnych platformach, zebranych pod jedną chwytliwą nazwą BlueBorne. Jeżeli ten rozrusznik pracuje pod kontrolą Androida (serio?!), iOS (poważnie?!), korzysta z BlueZ (czy ktoś z tego korzysta?), to tak.

    • Poprawnie sformułowane pytanie by było – co robić jak RZYĆ – dosłownie.

  72. Myślę, że to jest tylko “wyciek” z wierzchołka góry lodowej tego, co mogą robić “anonimowo” służby specjalne swoim nieświadomym niczego obywatelom. Taka podatność przez lata była wykorzystywana do inwigilacji i podsłuchu. Już lepiej chyba być zacofanym technologicznie…

  73. Jak mam wyłączyć Bluetooth jak nawet wyłączenie go w karcie sieciowej nie działa? help. ;-;

  74. Mój Nexus 6 (bez P) z łatką wrześniową do 7.1.1 już nie jest podatny. :-)

  75. Czy jest jakiś sposób, żeby się przed tym zabezpieczyć do czasu gdy Samsung łaskawie wyda aktualizację (poza oczywiście wyłączeniem bt)? I drugie pytanie laik(onik)a – czy da się jakoś sprawdzić czy telefon nie został już zainfekowany?

  76. Pytanie, jakie konsekwencje ma to dla radia samochodowego?

    • Skaner stwierdził, że radio Hyundaia (2016, bez gps) jest niewrażliwe.

  77. Krótkie podsumowanie rozmowy z Działem Wsparcia Huiawie Polska (sic)
    -Kiedy naprawicie?
    -Nie wiem
    -A kto wie
    -Nie wiem

  78. A co z modułem BTM-222?

  79. co dokładnie oznacza low/medium/high risk w apce sprawdzającej od armis?
    vw golf’a pokazuje jako low, windows phone’a 10 jako medium…

  80. Sony Xperia XA1: przed chwilą ukazała się nowa poprawka. Po jej zainstalowaniu urządzenie jest nadal wrażliwe. (Nie)drogie Sony: to kpina z waszej strony. Kiedyś Sony kojarzyło się w Polsce z wysoką jakością. Być może kiedyś było to zgodne z rzeczywistością…

  81. Dziś po aktualizacji aplikacji BlueBorne Scanner urządzenia Samsung S7,S8, S4 pokazują, że nie są podatne. Wygląda na to, że sam sposób weryfikacji w aplikacji nie był dobrze zaimplementowany w aplikacji, albo aktualizacja wprowadziła jakiś błąd. Trochę słabo to wygląda.

    • To samo mam z HTC One M9 PCE – było zagrożenie – nie ma zagrożenia. WTF?

    • To samo u mnie Note 3 stock. Był podatny a teraz safe.

    • Po kolejnej aktualizacji znowu jest vurnelable…

    • To samo na Note3 – znów podatny ;)

      Lekko zbaczając z temat – zna ktoś jakiś solidny kompleksowy skaner podatności dla Androida? Taki żeby wykrywał blueborne, stagefreight, dziury broadcom i co tam jeszcze się znajdzie ale bez “ochrony aktywnej” jak klasyczne antywirusy?

  82. @Piotr Konieczny czy wiesz jak sprawa wygląda z Androidami, a konkretnie z systemami Xiaomi MIUI opartymi o Androidy, od której wersji androida można mówić, że jest załatana na tę ułomność z bluetooth? A może póki co żadna bo nie od wersji Androida jest to zależne?

  83. Htc One_E8 z androidem 6 safe. Samsung GT-I9079 z Sami OS też, ale GT-I9079 z cyanogenmod 11, HTC One_E8 z 4.4.2 już vulnerable.

    • Po update, blueborne pokazuje, że htc, który był safe jest narażony. O co chodzi?

  84. Jak wygląda sprawa w przypadku stosów Bluetooth pod niewspierane Windowsy (XP/Vista/8.0)? Czy podatności również ich dotyczą? Poprawek raczej nie należy się spodziewać (przynajmniej jeśli chodzi o natywne stosy z Microsoftu, nie wiem czy implementacje dostawców trzecich działające na tych systemach są jeszcze wspierane), więc warto przynajmniej wiedzieć, czy są zagrożone. Oprócz starych Windowsów, co z Symbianem?

  85. Odpowiedź Samsunga na pytanie o bezpieczeństwo bluetooth i przesłany artykuł.

    “Rozumiem, że kontaktuje się Pan w sprawie zagrożenia Blueborne.

    Pragnę poinformować, iż firma Samsung zdaje sobie sprawę z zagrożenia lecz na tę chwilę nie jestem w stanie powiedzieć kiedy i czy będzie stosowna aktualizacja.”

  86. Z tym linuksem – przynajmniej w komputerze – to nie należy za bardzo panikować.
    Cytat z “https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne”:

    CVE-2017-1000251, is a stack-based buffer overflow […] would normally result in remote code execution; however, Ubuntu kernels are built with the CONFIG_CC_STACKPROTECTOR configuration option enabled as a mitigation, turning a stack-based buffer overflow into a denial of service.

    To znaczy, że typowy komputer z Ubuntu może co najwyżej się wyłożyć, żadnego remote code execution nie będzie.
    Oczywiście problem będzie dotyczył różnych małych smart-cosiów, gdzie się oszczędza na kodzie (albo procesor nie ma takiego poziomu ochrony).

    Druga część błędu jest tak opisana:

    CVE-2017-1000250, is an information disclosure vulnerability […] in the BlueZ bluetoothd userspace daemon. A physically proximate unauthenticated attacker could use this to expose memory from the bluetoothd daemon.

    OK, no to można podejrzeć to, co bluetoothd widzi w pamięci – ale on pracuje w userspace, więc podejrzymy jakieś piny czy dane z bluetootha; najgorsze mogłyby być hasła z klawiatury BT…

    P.S. Mój Ubuntu na dziś jest załatany na obu dziurach.

  87. Dlaczego z artykulu usunięto fragment o windowsie xp i starszych? Czy one sa podatne na atak? Czy da sie jakos zabezpieczyc win xp?

    • Aktualnie walka z Windowsem XP zdaje się weszła w fazę spuszczania zasłony milczenia na systemy starsze niż Vista i udawania że takowych w ogóle nie było.

  88. LineageOS wersja 14.1-20170921-NIGHTLY-piccolo
    jest bezpieczna (sprawdzałem BlueBorn skanerem tydzień temu i było na czerwono, obecna wersja już 21.09 jest już na zielono)

  89. Mam pytanie co z urządzeniami BT-Audio, typu słuchawki do ucha, głośniki, czy zestawy głośnomówiące do aut. Czy jak zaktualizuję telefon to wystarczy, czy urządzenia końcowe-audio też muszę zaktualizować czyli w praktyce wymienić?

  90. Dlatego telefony na http://www.puri.sm mają mechaniczny wyłącznik Wifi i Bluetooth :) (Kill switch). Swoją drogą ciekawy projekt telefonów na Linuxie.

  91. Hmm, interesujące- stary Szajsung S3lte bezpieczny, tescowy wynalazek Op3n dott bezpieczny (oba Kitkat), a tablet lifetab 10346 (lolipop) dziurawy

  92. Na samsung s7 w t-mobile dzis pojawil sie update ktory lata samsunga :P

  93. myślicie, że mogli mnie zainfekować, kiedy miałam BT włączone dosłownie na 5 minut w celu przesłania zdjęcia? bo niestety, informacji o xperii j nigdzie nie ma ;;

  94. Ten drugi film (z robieniem zdjęcia telefonem) to lipa chyba. Najpierw ofiara maca laptopa prawą ręką, na zdjęciu tę rękę ma przy ustach. No dobra, mogła w tym momencie zmienić na chwilę pozycję, ale później zegarek zmienia nadgarstek z prawego na lewy.

  95. Xiaomi załatało “starego” Mi 3S w ciągu tygodnia, odkąd po raz pierwszy usłyszałem o tym zagrożeniu. Ciekawe ile zajęłoby/zajmie to Samsungowi w przypadku produktu “dwie generacje wstecz” ze środkowej półki.

  96. Dzisiaj na Samsungu S6 pojawiła się aktualizacja po której aplikacja pokazuje że telefon jest już bezpieczny. Pytanie czy po aktualizacji aplikacji wciąż tak będzie ? ;)

Odpowiadasz na komentarz Daniel

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: