BLUFFS — это аббревиатура новой уязвимости Bluetooth, обнаруженной исследователем безопасности Даниэле Антониоли (Daniele Antonioli). BLUFFS является сокращением от Bluetooth Forward and Future Secrecy и включает целый набор из шести уникальных уязвимостей. Эти уязвимости затрагивают большинство устройств с модулями Bluetooth от 4.2 до 5.4 версии.
Для эксплуатации уязвимости требуется предварительная настройка. Для успешной атаки необходимо, чтобы два уязвимых Bluetooth-устройства находились в зоне действия устройства злоумышленника. Успешная эксплуатация может привести к атакам типа «человек посередине» и успешному взлому ключа шифрования методом перебора.
На своем сайте исследователь представил отчет, презентацию и набор инструментов для проверки концепции. Атака была протестирована на 18 различных Bluetooth-чипах и устройствах, включая несколько моделей Apple iPhone, Google Pixel, ноутбуки, Airpods и др.
Не все устройства подвержены всем шести уязвимостям, но все они затронуты как минимум тремя из шести уязвимостей.
На официальном сайте Bluetooth появилось подтверждение проблемы. BLUFFS фигурирует под идентификатором CVE-2023-24023. В статье поддержки приведены рекомендации по устранению проблемы. Производителям рекомендуется установить минимальную длину ключа шифрования для зашифрованных сессий в 7 октетов. Это дает злоумышленнику слишком мало времени для успешного перебора ключа. Хотя это не может являться полной защитой от эксплуатации, в этом случае атаки становятся менее выгодными для злоумышленников.
На сайте содержатся и другие рекомендации:
Рекомендуется отклонять соединения уровня обслуживания на зашифрованном широкополосном канале с ключом длиной менее 7 октетов. Для реализаций с использованием режима безопасности 4 уровня должны отклоняться соединения сервисного уровня на зашифрованном широкополосном канале с длиной ключа менее 16 октетов. Если оба устройства работают только в режиме безопасных соединений, это также обеспечит достаточную стойкость ключа.
Некоторые производители, например Microsoft, успели устранить уязвимости. Microsoft выпустила патч для Windows в рамках ноябрьского «Вторника Патчей».
Пользователи могут отключить Bluetooth на своих устройствах, чтобы защититься от потенциальных атак, но во многих случаях это нецелесообразно. Например, Bluetooth, часто используется для сопряжения беспроводных наушников с мобильными устройствами
Угрозы безопасности
• Чем опасен вайб-кодинг: данные METR, Georgia Tech и Wiz
• Мошенники переходят к сложным многоэтапным атакам – аналитики МегаФона, Почты Mail и «Лаборатории Касперского»
• Утечка Claude Code используется для распространения инфостилера Vidar
• Стэнфорд: ИИ-чат-боты соглашаются с пользователями на 49% чаще людей
• Банковские трояны стали главной угрозой для Android в начале 2026 года
• Anthropic случайно раскрыла исходный код Claude Code в npm