本月初,安全研究人员披露了 16 个影响诸多流行 SoC 芯片组的蓝牙软件堆栈漏洞,用于笔记本电脑、智能手机、工业与 IoT 设备的 1400 款芯片组都未能幸免。若被黑客利用,这组统称为“BrakTooth”的蓝牙漏洞,或被用于崩溃、冻结、或接管易受攻击的设备。在最坏的情况下,攻击者还可执行恶意代码并接管整个系统。
研究人员表示,测试期间,他们只检查了来自 11 个供应商的 13 款 SoC 板的蓝牙软件堆栈。
但随着研究的深入,他们发现相同的蓝牙固件,有可能在 1400 多款芯片组中得到应用。
这些芯片组被用于各种设备的基础功能模块,且涵盖了笔记本电脑、智能手机、工业设备、以及大量智能“物联网”设备。
据推测,受影响的设备数量,达到了数十亿的规模。至于 BrakTooth 造成的问题的严重程度,则取决于不同的硬件。
1. Arbitrary Code Execution on ESP32 via Bluetooth Classic (BR_EDR)(via)
其中最糟糕的,莫过于 CVE-2021-28139 。因为它允许远程攻击者通过蓝牙 LMP 数据包,在易受攻击的设备上运行自己的恶意代码。
研究团队指出,该漏洞会影响基于 Espressif System 的 ESP32 SoC 板而构建的智能与工业设备,并且波及其它 1400 款商用产品中的大多数。
不难推测,其中一些产品都有重复使用相同的蓝牙软件堆栈。至于其它 BrakTooth 隐患,虽然相比之下没有那么严重,但它们还是对行业造成了较大的困扰。
比如几个漏洞可被用于基于错误格式的蓝牙 LMP(链接管理器协议)数据包来轰炸智能机 / 笔记本电脑的蓝牙服务,并最终导致其陷入崩溃。
易受此类漏洞攻击的设备,包括了微软的Surface笔记本电脑、戴尔台式机、以及多款基于高通芯片组的智能机。
此外攻击者还可利用截断、超大或无序的蓝牙 LMP 数据包,使设备也陷入完全崩溃的状态。如视频演示所示,此时用户将不得不手动重启设备。
2. BrakTooth - Invalid Timing Accuracy attack on Qualcomm based phones(via)
研究团队称,所有 BrakTooth 攻击都可利用价格低于 15 美元的现成蓝牙设备来发起。而在其测试过的 13 款 SoC 芯片组中,就总共曝出了多达 16 个漏洞。
遗憾的是,尽管研究人员早在漏洞披露的数月之前,就已经向所有 11 家供应商发去了通知。但在 90 天的宽限期过后,并非所有供应商都及时地完成了漏洞修复补丁的制作。
截止目前,只有 Espressif Systems、英飞凌(前 Cypress)和 Bluetrum 已经发布了相关漏洞补丁,更让人无语的是,德州仪器明确表示他们懒得修复影响自家芯片组的相关缺陷。
其它几家供应商承认了研究团队的漏洞发现,但无法给出安全补丁的明确发布日期,理由是需要花时间来对每个影响自家产品和软件堆栈的 BrakTooth 漏洞进行内部排查。
最后,负责指定蓝牙标准的 Bluetooth SIG 的一位发言人告诉 The Record,称他们已经意识到了这些问题,但无法向供应商施加压力。
理由是 BrakTooth 对标准本身没有影响,所以需要依靠各家供应商自己去解决。
3. BrakTooth - Feature Response Flooding on Audio Products(via)
综上所述,由于距离补丁的全面推出还有一段时间,研究团队也不得不推迟了任何概念验证代码的披露。
而是设置了一份网络表单,以敦促供应商与之取得联系,并获取测试自家设备的相关代码。