新的 BrakTooth 缺陷可能會影響數百萬支持藍牙的設備

商業藍牙堆棧中的一組 16 個安全漏洞，統稱為BrakTooth，可被威脅行為者利用來執行任意代碼并通過 DoS 攻擊使設備崩潰。

這些問題是由新加坡科技與設計大學 (SUTD) 的 ASSET（自動化系統安全）研究小組發現的，他們的名字來自挪威語“Brak”，翻譯為“崩潰”。

BrakTooth 漏洞影響了包括英特爾、高通和德州儀器在內的 11 家供應商的 13 款藍牙芯片組，專家估計可能有 1,400 多種商業產品受到影響。

截至今天，研究人員發現了 16 個安全漏洞，其中 20 個常見漏洞暴露 (CVE) 已分配，4 個漏洞正在等待英特爾和高通的 CVE 分配。

“我們披露了 BrakTooth，這是商業 BT 堆棧中的一系列新安全漏洞，范圍從拒絕服務 (DoS) 到商品硬件中的固件崩潰和死鎖，再到某些物聯網中的任意代碼執行 (ACE)。” 閱讀研究人員發表的帖子。“所有漏洞都已報告給各自的供應商，其中幾個漏洞已經修補，其余漏洞正在復制和修補過程中。此外，四個 BrakTooth 漏洞已獲得樂鑫和小米的漏洞獎勵。“

專家測試的攻擊場景只需要一個便宜的 ESP32 開發套件 (ESP-WROVER-KIT) 和一個定制的（不兼容的）LMP 固件和一臺 PC 來運行他們開發的 PoC 工具。該工具通過串行端口 ( /dev/ttyUSB1 ) 與ESP32 板通信，并使用特定漏洞 ( <exploit_name> )發起針對 BDAddress ( <target bdaddr> ) 的攻擊。

ASSET 小組發布了PoC 工具 ，允許供應商針對漏洞測試他們的設備。

研究人員指出，所有的BrakTooth漏洞都可以被攻擊者利用，而無需事先進行任何配對或身份驗證。

“我們發現的漏洞的影響分為（I）崩潰和（II）死鎖。由于 SoC 固件中的緩沖區或堆溢出，崩潰通常會觸發致命斷言、分段錯誤。相比之下，死鎖導致目標設備無法進行進一步的 BT 通信。” 繼續研究人員。“這可能是由于強制禁用分頁掃描 ( V16 )、V6 上的狀態機損壞 或通過V1上的任意代碼執行 (ACE) 完全禁用 BT 功能 。”

最嚴重的缺陷是功能頁面執行問題，被追蹤為 CVE-2021-28139，它影響了許多基于藍牙的設備中使用的 ESP32 SoC。無線電范圍內的攻擊者可以通過精心設計的擴展功能位域負載觸發該問題，以在 ESP32 中獲得任意代碼執行 (ACE)。

樂鑫、英飛凌（賽普拉斯）和 Bluetrum Technology 等一些供應商已經發布了固件更新，以解決其他制造商（包括英特爾和高通）仍在評估其產品的問題。