Yazılım Haberleri

Milyarlarca Aygıtı Etkileyen Bir Güvenlik Açığı Keşfedildi

2 Dakika okuma

Her gün çeşitli emellerle kullandığımız milyarlarca akıllı telefon, tablet, dizüstü bilgisayar ve ekosistem cihazı gibi teknolojik aletler, Bluetooth teknolojisini kullanıyor. Lakin BLESA (Bluetooth Low Energy Spoofing Attack) isimli çok yeni bir akın tipi, tüm Bluetooth aygıtların güvenliğini tehlikeye attı.

çok yeni güvenlik açığı, Bluetooth teması sırasında ilişkiddialı en uzun mühlet boyunca kurabilmek için batarya gücünü koruyan BLE (Bluetooth Low Energy) protokolünü yürüten aygıtları etkiliyor. Güvenlik açığı, ABD’deki Purdue Üniversitesi’nden yedi araştırmacı tarafından ortaya çıkarıldı.

Tekrar bağlanma sırasında iki farklı yanılgı yer alıyordu:

Yedi araştırmacı, çalışmalarında ‘çok yeniden bağlanma’ süreci üzerine odaklanmışlardı. Bu süreç, iki BLE aygıtının (istemci ve sunucu) eşleştirme süreci sırasında birbirini doğrulamasından sonra gerçekleşiyordu. Araştırmacılar, bu süreç sırasında çok yeni güvenlik açığını keşfetti.

Olağan koşullarda iki BLE aygıtı, yine bağlanma sırasında birbirlerinin kriptografik anahtarını denetim ediyordu. Ancak araştırmacı takım, resmi BLE tanımlamasının aslında yine bağlanma sürecini açıklayacak kadar güçlü bir lisana sahip olmadığını gördü. Sonuç olarak iki sistemik yanılgı BLE yazılımında kendisini gösterdi:

  • Tekrar bağlanma sırasında doğrulama zarurî olmak yerine isteğe bağlı.
  • Kullanıcının aygıtı, iletilen bilgilerin kimliğini doğrulamak için IoT aygıtını zorlayamazsa kimlik doğrulama potansiyel olarak atlatılabiliyor.

İşte gördüğümüz bu iki kusur, BLESA saldırısı için kapıyı aralıyordu. Hackerlar, BLE’deki yanılgılar nedeniyle tekrar bağlanma doğrulamalarını atlatarak aygıta uydurma datalar gönderebiliyorlardı. Yanılgının nasıl bir akına yol açtığınaysa üstte yer alan ve araştırmacılar tarafından çekilen görüntüye bakabilirsiniz.

Araştırmacılar tarafından yapılan açıklamaya nazaran BLE’de bulunan bu açık şu ana kadar gerçek manada hackerlar tarafından kullanılmadı. Araştırmacılar, BlueZ (Linux tabanlı IoT cihazları), Fluoride (Akıllı Telefon Devi Android) ve iOS BLE yığınlarının BLESA saldırısına karşı savunmasız olduğunu keşfetti. Öte yandan Windows aygıtlar bu hücuma karşı sağlamdı.

Apple, Haziran 2020 prestijiyle CVE-2020-9770 ismiyle hitap edilen açığı kapattı. Ama araştırmacılar, geçtiğimiz ay yayınladıkları makalelerinde Akıllı Telefon Devi Android BLE’nin test ettikleri aygıtlarda (Google Pixel XL) hâlâ savunmasız olduğunu açıkladı. BlueZ geliştirici takımıysa BLESA saldırısının önüne geçmek için tedbir alacağını belirtti.

   Bizi Google News'den takip edin

Benzer Yazılar
Yazılım Haberleri

50 TL pahasındaki The Occupation, Amazon Prime üyelerine fiyatsız oldu

1 Dakika okuma
Fiyatsız oyun kampanyalarında bu hafta bir hoş haber de Amazon Prime’dan geldi. Prime Gaming üyelerine şu anda 50 TL pahasındaki The …
Yazılım Haberleri

Google, Chrome çok çok yeni sekme sayfasında alışveriş reklamları göstermeyi test ediyor

1 Dakika okuma
Google, Chrome Canary’nin son sürümünde çok çok yeni sekme sayfasının alışveriş reklamlarının gösterildiği çok çok yeni bir özelliği test …
Yazılım Haberleri

YouTube taşınabilir aplikasyonsına güncelleme geldi!

1 Dakika okuma
Akıllı Telefon devi Akıllı Telefon devi Akıllı Telefon Devi Android ve iOS aygıtlara gelen çok çok yeni güncelleme sayesinde YouTube …
Numlock.tech bültenine katıl!

Haber ve yeniliklerden ilk sen haberdar ol.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir