ГОСТ Р 59162-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 6. Обеспечение информационной безопасности при использовании беспроводных IP-сетей

7.6 Атаки через Bluetooth

 

В общедоступных источниках описаны многочисленные атаки, в основе которых лежали ошибки реализации или погрешности системы безопасности Bluetooth.

Известны следующие примеры:

a) Bluedumping: атака, основанная на обратном расчете ПИН-кода пользователя, с использованием перехваченного обмена данными между парой устройств;

b) Bluesnarfing: позволяет нарушителю из-за ошибок реализации в протоколе OBEX Push получить через Bluetooth-соединение несанкционированный доступ к персональным данным, таким как телефонная книга и база данных встреч на устройствах: телефонах, настольных ПК, ноутбуках и карманных ПК;

c) Bluebugging: использует скрытые каналы Bluetooth RFCOMM и позволяет нарушителю удаленно управлять большинством функций телефона, в том числе совершать несанкционированные вызовы и включать микрофоны, чтобы превратить телефон в подслушивающее устройство ("жучок");

d) Bluejacking - это атака, использующая недостатки безопасности профиля OBEX на мобильных устройствах с поддержкой технологии Bluetooth, например, мобильных телефонах. Нарушитель начинает атаку bluejacking с отправки несогласованных с получателем сообщений на его устройство с поддержкой Bluetooth. Сами по себе такие сообщения не наносят вреда устройству пользователя, но могут каким-либо образом вовлечь пользователя в обмен сообщениями или побудить его добавить новый контакт в адресную книгу устройства. Атака с отправкой сообщений напоминает спам и фишинг через электронную почту. Bluejacking может нанести вред в том случае, когда пользователь отвечает на сообщение нарушителя;

e) Bluestabbing: нарушитель изменяет имя своего устройства Bluetooth на имя с неправильным форматом, что приводит к сбою других устройств Bluetooth при попытках обнаружить другие находящиеся поблизости устройства;

f) Bluebumping: с использованием методов социальной инженерии, при которой использует тот факт, что парная связь в реальности не удалятся до тех пор, пока оба парных устройства не удаляют соединение. Используя социальную инженерию, нарушитель убеждает жертву осуществить сопряжение с устройством, которое в дальнейшем будет источником атаки. Несмотря на то, что жертва впоследствии удалит сопряжение со своего устройства, нарушитель этого не сделает, тем оставив скрытую "заднюю дверь" в устройство жертвы;

g) Bluesmacking: результатом запросов неправильного формата будет "ping of death", вызывающий сбой на всех устройствах, на которые отправляются запросы.