Эксперты заявили, что в спецификациях Bluetooth Core и Mesh Profile обнаружены проблемы, которые позволяют атакующему выдать себя за легитимное устройство во время сопряжения, а также запускать атаки типа man-in-the-middle (разумеется, находясь в зоне действия беспроводной сети).

Детальное описание всех семи обнаруженных багов, а также рекомендации по их устранению уже опубликовали специалисты организации Bluetooth Special Interest Group (Bluetooth SIG) - bluetooth.com.

По информации специалистов, хотя бы перед некоторыми из этих проблем уязвимы продукты Android Open Source Project (AOSP), Cisco, Intel, Red Hat, Microchip Technology и Cradlepoint.

Сообщается, что разработчики AOSP уже работают над исправлениями для уязвимостей CVE-2020-26555 и CVE-2020-26558, затрагивающих устройства на базе Android. Патчи должны войти в состав следующего бюллетеня безопасности для Android.

Cisco также работает над исправлением проблем CVE-2020-26555 и CVE-2020-26558, влияющих на ее продукты.

Источник: xakep.ru