אונליין
ישראלים חשפו פירצה בקישורית הבלוטות' שמאפשרת להאקרים להשתלט כמעט על כל מכשיר העושה שימוש בקישורית
ארמיס ( Armis), חברת סטארט אפ ישראלית המתמחה ב-IoT הודיעה כי גילתה כשל אבטחה חמור שהותיר יותר מ-5 מיליארד מכשירים העושים שימוש בבלוטות' חשופים לתקיפה

החולשות שנמצאו על ידי חברת האבטחה מצוייות ביישומי Bluetooth המיועדים לאנדרואיד, מערכות ווינדוס, לינוקס ו-iOS (מערכת ההפעלה של אפל). החברה מספרת כי דיווחה על החולשות לגוגל, מיקרוסופט וקהילת לינוקס ועבדה יחד איתן על התיקון, כשגרסאות מתוקנות של כל החברות, בהן גוגל ומיקרוסופט יהיו זמינות כבר היום (יום שלישי). בחברה ממליצים להתקין את כל עדכוני האבטחה שיצאו בימים האחרונים וייצאו היום על-מנת להגן על המכשירים על המידע האישי ועל המידע הארגוני

 

מערך חולשות ה- zero day מבוססות Bluetooth, שנתגלה זכה לכינוי  "BlueBorne"ובחברה טוענים כי מדובר באחת החולשות הכי גדולות שנתגלו  מבחינת היקף המשתמשים - למעלה מ- 5 מיליארד מכשירים כשביניהם: סמארטפונים, טלוויזיות חכמות, מחשבים ניידים, שעונים, טלוויזיות חכמות, ואפילו מערכות שמע לרכב ועדו רבים אחרים. במידה וינוצלו, נקודות תורפה אלו עלולות לאפשר לתוקף להשתלט על מכשירים, להפיץ נוזקה, או לבסס התקפה מסוג "man in the middle" להשגת גישה למידע קריטי ולרשתות ללא אינטראקציית משתמש.

 

מייסדי אראמיס: נדיר יזרעאל (מימין) ויבגני דיברוב יח"צ

אז מה הסכנה כאן בעצם? ובכן, זה מה שמסבירים בחברה:

 

"חולשות אלו עלולות לאפשר לתוקפים לייצר מגוון הדבקות נוזקה, היכולות להיות מופצות ממכשיר נגוע אחד לרבים אחרים באמצעות החיבוריות האלחוטית שבין המכשירים דרך Bluetooth . "התקפות אלו הן בלתי-נראות לנהלי ובקרות אבטחה מסורתיים ומוצרים קיימים. חברות לא מנטרות תעבורת Bluetooth ובנוסף אין לחברות יכולת לזהות התנהגות חריגה במגוון העצום של המכשירים שהם חלק מהרשת, ולכן אינן מסוגלות לראות התקפות אלו או לעצור אותן", אומר יבגני דיברוב, מנכ"ל ארמיס. "המחקר ממחיש את סוגי האיומים מולם אנו עומדים בעידן שבו הכל מחובר וישנם אלפי מכשירים חדשים מסוגים שונים ברשת הארגונית מדי יום". ישנן שתי שיטות ייחודיות בהן תוקפים יכולים לנצל את החולשות ולהזיק:

● להתחבר למכשיר המטרה באופן בלתי-מזוהה, ואז להריץ קוד מרחוק על אותו מכשיר. הדבר מאפשר לתוקף לקבל שליטה מלאה על מערכת, עד למינוף של המכשיר לקבלת גישה לרשתות ארגוניות, מערכות ומידע.


● לנהל מתקפת man in the middle"" - למעשה יצירה של מעין "Bluetooth Pineapple" - מאפשרת לקבל גישה לחיבורי הרשת של המכשיר הנתקף, ולהפנות תעבורה ומידע אשר הוא משדר אל רשת ומקבל ממנה, אל המכשיר התוקף. תקיפה זו אינה מצריכה התקנה של נוזקה על המכשיר עצמו, והיא בלתי נראית לחלוטין.

 

החיבוריות האוטומטית ל-Bluetooth , בשילוב העובדה, כי כמעט כל המכשירים מאפשרים -Bluetooth כברירת מחדל, מאפשרים חדירות רציניות במידה משמעותית. התקן שנפגע פעם אחת בנוזקה, יכול לשדר נוזקה זו הלאה ללא קושי להתקנים עם אפשרויות Bluetooth שבסביבתו הקרובה, בין אם בתוך משרד או באתרים ציבוריים יותר".

 

כמעט כל מכשיר העושה שימוש בבלוטות' פגיע יח"צ

אז איך תגנו על עצמכם? בחברה מוסרים שעליכם לוודא כי העדכונים הבאים יותקנו אצלכם:

אנדרואיד: גרסה 6 ומעלה אמורות לקבל עידכון אבטחה, צריך להיות העדכון של ספטמבר 2017.

אפל: iOS 10 ומעלה
ווינדוס: החל מהעדכון של 12 לספטמבר כל הגרסאות הנתמכות על ידי מייקרוסופט (מ-Windows Vista והלאה).

 

למידע נוסף תוכלו לבקר באתר במיוחד שהקימו בחברה לעניין לחצו כאן

 
© כל הזכויות שמורות לאתר nana10