Les chercheurs en cybersécurité ont découvert une nouvelle vulnérabilité affectant les modules Bluetooth. Ils estiment que ce problème de sécurité affecte plus d'un milliard d'appareils sous gestion. Android et Windows. Le programme malveillant est présent dans le firmware des puces Bluetooth de Qualcomm, Silicon Labs, Intel et autres.
Selon MSPoweruser, la vulnérabilité existe dans le firmware de onze fabricants de puces Bluetooth. Ils appellent l'exploit lui-même "BrakTooth", et jusqu'à présent, seuls trois fabricants ont publié des mises à jour pour se protéger contre les futurs hacks : BluTrum, Expressif et Infineon. Les autres, y compris Intel et Qualcomm, n'ont pas encore résolu le problème, ce qui signifie que des millions d'appareils ne sont toujours pas protégés.
De plus, étant donné que le piratage nécessite l'activation de Bluetooth sur l'appareil, il est conseillé aux utilisateurs de le désactiver par mesure de précaution jusqu'à ce que les fabricants respectifs publient un correctif complet du micrologiciel.
Les produits que nous connaissons qui sont utilisés pour Braktooth incluent (il y en a d'autres):
- téléphones intelligents - Pocotéléphone F1, Oppo Reno 5G, etc.
- Ordinateur portable Dell – Optiplex, Alienware, etc.
- dispositifs Microsoft Surface - Surface Go 2, Surface Pro 7, Surface Book 3, etc.
Les vulnérabilités Bluetooth ne sont pas nouvelles, car de nombreux pirates ont utilisé cette méthode dans le passé pour obtenir un accès illégal à des appareils compatibles Bluetooth afin d'écouter, de voler des données, d'infecter des logiciels malveillants ou même de prendre le contrôle complet de l'appareil.
Les détails techniques complets et les explications des 16 vulnérabilités sont disponibles sur site dédié BrakTooth. Les chercheurs affirment que les 11 fournisseurs ont été informés de ces problèmes de sécurité il y a plusieurs mois (plus de 90 jours), bien avant de publier leurs conclusions.
Expressif, Infineon et Bluetrum ont publié des correctifs, d'autres fournisseurs ont confirmé les conclusions des chercheurs mais n'ont pas pu confirmer la date de sortie exacte du correctif de sécurité.
Lisez aussi: