ایتنا - دستگاه‌هایی که از دو استاندارد نرخ پایه/ نرخ داده پیشرفته (BR ‎/ EDR) و استاندارد بلوتوث کم انرژی (BLE) پشتیبانی می‌کنند، می‌توانند مورد هدف قرار گیرند.

محققان "SIG" توصیه می‌کنند که دستگاه‌ها و تجهیزات خود را چه در حالت جفت شدن و چه در هنگامی‌که دستگاه هیچ‌گونه پیوند یا اتصال موجود به دستگاه جفت شده ندارد،  محدود کنند تا نفوذگران نتوانند دستگاه شما را هدف قرار دهند.

به گزارش ایتنا از پایگاه اطلاع‌رسانی پلیس فتا، سازمان بلوتوث SIG، که نظارت بر تدوین استانداردهای بلوتوث را بر عهده دارد، بیانیه‌ای را برای کاربران و فروشندگان در مورد آسیب‌پذیری جدیدی که صدها میلیون دستگاه در سراسر جهان را تحت تأثیر قرار می‌دهد، منتشر کرده است.

این نقص به‌طور مستقل توسط دو گروه جداگانه از محققان دانشگاهی کشف ‌شده است. دستگاه‌هایی که از دو استاندارد زیر پشتیبانی می‌کنند، می توانند مورد هدف قرار گیرند: استاندارد نرخ پایه/ نرخ داده پیشرفته (BR ‎/ EDR) و استاندارد بلوتوث کم انرژی (BLE).

این نقص "BLURtooth" با کد CVE-2020-15802 شناسایی می‌شود و دستگاه‌هایی را که از فناوری بلوتوث 4.0 یا 5.0 استفاده می‌کنند، در معرض خطر قرار می‌دهد و به مهاجمین اجازه می‌دهد تا با غیرفعال کردن کلید تأیید یا کاهش قدرت کلید رمزگذاری، به‌طور غیرمجاز به یک دستگاه هدف، نفوذ نمایند.

محققان توضیح می‌دهند: "دستگاه‌ها برای تولید کلیدهای طولانی‌مدت (LTK) یا پیوند کلید (LK) قادر به بازنویسی LTK یا LK اصلی در مواردی هستند که این انتقال سطح بالاتری از امنیت را اعمال ‌کند."

طبق مشاوره‌ای که توسط مرکز هماهنگی Carnegie Mellon CERT منتشرشده است، این نقص می‌تواند منجر به چندین حمله با عنوان "حملات BLUR" شود.

علاوه بر توصیه برای ایجاد محدودیت در CTKD که در نسخه 5.1 بلوتوث اعمال‌شده است، سازمان بلوتوث SIG، هماهنگی‌هایی را با تولیدکنندگان دستگاه انجام داده است تا به آن‌ها کمک کند تا پچ‌های ضروری را به‌سرعت در دسترس قرار دهند.

محققان "SIG" همچنین توصیه می‌کنند که دستگاه‌های خود را چه  در حالت جفت شدن و چه در هنگامی‌که دستگاه هیچ‌گونه پیوند یا اتصال موجودی به دستگاه جفت شده ندارد، محدود کنند.