BLUFFS — это аббревиатура новой уязвимости Bluetooth, обнаруженной исследователем безопасности Даниэле Антониоли (Daniele Antonioli). BLUFFS является сокращением от Bluetooth Forward and Future Secrecy и включает целый набор из шести уникальных уязвимостей. Эти уязвимости затрагивают большинство устройств с модулями Bluetooth от 4.2 до 5.4 версии.
Для эксплуатации уязвимости требуется предварительная настройка. Для успешной атаки необходимо, чтобы два уязвимых Bluetooth-устройства находились в зоне действия устройства злоумышленника. Успешная эксплуатация может привести к атакам типа «человек посередине» и успешному взлому ключа шифрования методом перебора.
На своем сайте исследователь представил отчет, презентацию и набор инструментов для проверки концепции. Атака была протестирована на 18 различных Bluetooth-чипах и устройствах, включая несколько моделей Apple iPhone, Google Pixel, ноутбуки, Airpods и др.
Не все устройства подвержены всем шести уязвимостям, но все они затронуты как минимум тремя из шести уязвимостей.
На официальном сайте Bluetooth появилось подтверждение проблемы. BLUFFS фигурирует под идентификатором CVE-2023-24023. В статье поддержки приведены рекомендации по устранению проблемы. Производителям рекомендуется установить минимальную длину ключа шифрования для зашифрованных сессий в 7 октетов. Это дает злоумышленнику слишком мало времени для успешного перебора ключа. Хотя это не может являться полной защитой от эксплуатации, в этом случае атаки становятся менее выгодными для злоумышленников.
На сайте содержатся и другие рекомендации:
Рекомендуется отклонять соединения уровня обслуживания на зашифрованном широкополосном канале с ключом длиной менее 7 октетов. Для реализаций с использованием режима безопасности 4 уровня должны отклоняться соединения сервисного уровня на зашифрованном широкополосном канале с длиной ключа менее 16 октетов. Если оба устройства работают только в режиме безопасных соединений, это также обеспечит достаточную стойкость ключа.
Некоторые производители, например Microsoft, успели устранить уязвимости. Microsoft выпустила патч для Windows в рамках ноябрьского «Вторника Патчей».
Пользователи могут отключить Bluetooth на своих устройствах, чтобы защититься от потенциальных атак, но во многих случаях это нецелесообразно. Например, Bluetooth, часто используется для сопряжения беспроводных наушников с мобильными устройствами
Угрозы безопасности
• Поддельные криптокошельки массово проникают в магазин Firefox Add-ons и крадут средства пользователей
• «Доктор Веб»: Во II квартале 2025 года выросло число атак банковских троянов и целевых шпионов для Android
• Уязвимость в сотнях моделей принтеров Brother и других брендов раскрывает стандартные пароли администратора
• Google: Хакеры обошли двухфакторную аутентификацию Gmail с помощью паролей для приложений
• «Утечка 16 миллиардов паролей» оказалась сборником старых данных
• Хакеры крадут пароли игроков через поддельные моды Minecraft на GitHub