新加坡技术与设计大学的研究人员发布了一个概念验证,适用于漏洞的一系列漏洞,它具有带动的软件开发套件,它会使用ESP32标准来编程蓝牙芯片组。
Braktooth会影响蓝牙经典协议,广泛用于笔记本电脑,智能手机和音频设备。该团队表示,16缺陷弥补了柔软的效果,如果利用,则严重程度崩溃影响系统以远程代码执行。
最严重的缺陷,团队称为V1,针对工业自动化,智能家庭和健身应用中使用的ESP32 SoC。已知某些模型的MacBook和iPhone受到影响。由于ESP32 BT库无法正确运行某些类型的输入,因此对系统的恶意请求可以允许攻击者将代码注入到易受攻击的系统上并可能掌握控制。
其他缺陷给攻击者提供了广泛的潜在恶作剧,包括使用易受攻击的端点强行断开蓝牙设备,以崩溃成对设备上的所有连接,并关闭连接的音频设备。攻击在蓝牙网络本身上进行,只需要一块廉价的蓝牙硬件和PC。
该团队表示,弱势芯片组的总数可能超过1,400,这意味着使用这些芯片组的设备可能会受到柔软的缺陷损害。这意味着设备从IoT Gadgetry到制造设备到笔记本电脑和智能手机的设备都很脆弱。受影响的制造商包括英特尔,德克萨斯州仪器和Qualcomm。
芯片组供应商已被告知Braztooth漏洞,许多人已经发布了OEM或甚至大公众使用的修补程序。研究人员创造了谁更新了什么,并发表Braztooth验证概念代码。
同一组的研究人员一直在一段时间内研究蓝牙安全,之前已经透露了像蓝牙乐中的Sweyntooth这样的缺陷。这是一组类似的安全问题,以缺乏足够的代码验证为中心,该问题是2019年公开的。受Sweyntooth影响的许多产品都是医疗器械,最严重的包括血糖仪表和起搏器。根据团队,这些缺陷主要被修补。