Vakavia haavoittuvuuksia Bluetooth-toteutuksissa

Bluetooth-toteutuksista on löytynyt joukko haavoittuvuuksia joita kutsutaan nimellä BlueBorne. Haavoittuvuudet koskevat ainakin Android-, iOS-, Windows- ja Linux-käyttöjärjestelmiä. Haavoittuvuudet voivat mahdollistaa komentojen suorittamisen kohdelaitteessa.

Bluetooth-teknologia on ollu käytössä 2000-luvun alkupuolelta lähtien, ja teknologiasta vastaavan organisaation mukaan bluetoothia käyttäviä laitteita on yli 8,2 miljardia. Teknologian vanhoista toteutuksista on löytynyt vakavia haavoittuvuuksia joiden avulla hyökkääjä voi suorittaa laitteissa omia komentoja tai varastaa niistä tietoja.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Android: Ennen syyskuun 2017 päivityksiä
  • Windows: Ennen syyskuun 2017 päivityksiä
  • iOS: Ennen versiota 10
  • Apple TV: Ennen versiota 7.2.2
  • Linux: Ennen syyskuun 2017 päivityksiä

Ratkaisu- ja rajoitusmahdollisuudet:

  • Haavoittuvuuteen on korjaus kaikissa viimeisimmissä Windows-, iOS-, Linux- ja Android-käyttöjärjestelmäytimen versioissa. Tarkemmat tiedot oman laitteesi tilanteesta saat valmistajalta.
  • Haavoittuvuutta on mahdollista hyväksikäyttää vaikkei laitetta olisikaan asetettu näkyväksi muille laitteille bluetoothin kautta.
  • Bluetoothin kytkeminen pois käytöstä suojaa haavoittuvuuden hyväksikäytöltä.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Esineiden internet IoT , Älypuhelin , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248