Um ano após Armis divulgar ‘BlueBorne’, um grande número de dispositivos Android, Linux e iOS permanecem sem correção.

Um ano após o fornecedor de segurança Armis ter divulgado um conjunto de nove vulnerabilidades exploráveis ​​no Bluetooth, cerca de 2 bilhões de dispositivos – incluindo centenas de milhões de smartphones Android e iOS – permanecem expostos à ameaça.

Armis divulgou as vulnerabilidades – coletivamente apelidadas de “BlueBorne” – em setembro passado, descrevendo-as como um vetor de ataque para os adversários assumirem o controle total dos dispositivos Bluetooth. Na época, a empresa estimou que cerca de 5 bilhões de produtos habilitados para Bluetooth, incluindo laptops, telefones, smartwatches e TVs, foram afetados.

Desde então, os fornecedores de muitos desses produtos publicaram patches e atualizações de software abordando as falhas.

Mas a Armis estima que pelo menos 2 bilhões de dispositivos permaneçam tão abertos a ataques através das vulnerabilidades do BlueBorne quanto estavam há um ano.

Quase metade dos dispositivos ainda vulneráveis, 995 milhões, são dispositivos Android que executam as versões Marshmallow ou Lollipop, ainda mais antigas, do sistema operacional. Outros 768 milhões estão rodando versões não corrigidas ou não-patenteáveis ​​do Linux, 200 milhões estão rodando várias versões do Windows e 50 milhões são dispositivos iOS, informou a empresa em um relatório na quinta-feira.

O fato de tantos sistemas permanecerem vulneráveis ​​ao BlueBorne um ano após a divulgação das vulnerabilidades não é especialmente surpreendente, diz Ben Seri, vice-presidente de pesquisa da Armis. “Quando anunciamos pela primeira vez a BlueBorne, sabíamos que havia dois desafios primários para lidar com esse tipo de exposição”, observa ele.

Um deles é que muitos dos dispositivos afetados – como produtos Android e iOS mais antigos e sem suporte – nunca serão corrigidos, permanecendo em risco até que os dispositivos sejam descartados. Da mesma forma, muitos sistemas que executam o Linux, como equipamentos industriais e dispositivos médicos, podem ser muito difíceis ou impossíveis de corrigir.

O outro desafio é o tempo que leva para os fornecedores de dispositivos, operadoras e empresas implementarem patches – mesmo quando disponíveis – para essas vulnerabilidades. Grupos do Google, da Microsoft e do Linux, por exemplo, rapidamente emitiram patches para as falhas, mas muitos dos outros nos respectivos ecossistemas não, afirma Seri.

As vulnerabilidades do BlueBorne existem nas implementações do Bluetooth no Windows, Android, Linux e iOS antes da versão 10. As falhas permitem que os invasores controlem completamente os dispositivos vulneráveis, roubem dados, distribuam malware neles para realizar ataques man-in-the-middle, e espionar usuários. 

Armis  descreve  as falhas do BlueBorne como ativadoras de ataques aéreos, onde um dispositivo Bluetooth infectado pode ser usado para transmitir o malware para outros dispositivos pelo ar. Para infectar um dispositivo usando o BlueBorne, um invasor não precisa emparelhar seu próprio dispositivo com o dispositivo de destino, nem o dispositivo de destino precisa estar no modo de descoberta.

“Os ataques aéreos trazem novas capacidades de ataque sem atrito”, diz Seri. Ao contrário dos métodos tradicionais, os usuários não precisam clicar em um link ou baixar um arquivo para ativar um ataque. “Espalhar através do ar de um dispositivo para outro torna os ataques muito mais contagiantes e permite que eles se espalhem com o mínimo de esforço.”  

Essas vulnerabilidades também oferecem aos atacantes uma maneira de saltar redes internas com lacunas, como as encontradas em várias configurações críticas de infraestrutura e sistemas industriais, diz ele.

Apesar da prevalência de sistemas vulneráveis, até agora não há evidências de que os invasores tenham realmente explorado as falhas para fazer qualquer uma das coisas que o Armis tenha alertado. Mas a falta de evidências não significa necessariamente que os atacantes não estejam explorando as falhas do BlueBorne.

“Se os atacantes usassem ataques aéreos, como o BlueBorne, como isso seria detectado?” Seri pergunta. “Não haveria um log que mostrasse um ataque de Bluetooth” em produtos de segurança de endpoint, firewalls e produtos de segurança de rede.  

O Bluetooth é completamente descontrolado em muitas organizações, então, para os adversários, ataques usando o BlueBorne seriam cobiçados, já que estariam completamente fora do radar, diz ele.

Desde que a Armis divulgou o BlueBorne, vários outros fornecedores relataram falhas no Bluetooth, incluindo o Zimperium , o Instituto de Tecnologia de Israel e o Tencent .

Para empresas, essas vulnerabilidades destacam as limitações de depender exclusivamente de fabricantes de dispositivos e operadoras para lidar com vulnerabilidades nos sistemas operacionais e pilhas de software em seus produtos. “É fundamental observar que o BlueBorne afetou não apenas os dispositivos de IoT, não apenas o Amazon Echos, mas também qualquer dispositivo com Bluetooth – o que significa desktops, laptops e potencialmente servidores”, disse Seri.

Teoricamente, pelo menos, qualquer dispositivo aprovado para estar em uma rede poderia ser comprometido, e o invasor poderia penetrar mais profundamente em uma organização.

“As empresas devem entender onde os dispositivos conectados estão em uso em seus ambientes – sancionados e não sancionados – [e] serem capazes de rastrear suas ações e obter controle sobre eles, a fim de evitar a ameaça de ataques”, diz Seri.

As organizações precisam estar cientes de que qualquer novo método ou protocolo de comunicação será sempre alvo de ataques e devem esperar ataques contra vulnerabilidades de Bluetooth nos próximos anos, acrescenta Lamar Bailey, diretor de pesquisa e desenvolvimento de segurança da Tripwire.

As atualizações automáticas, quando disponíveis, são o melhor método para corrigir problemas de segurança conhecidos, desde que haja um processo para testar exaustivamente as atualizações antes da implantação. “Qualquer fornecedor ou provedor que faça uma atualização e coloque um monte de dispositivos para clientes terá um dia muito ruim, e isso causará um impacto financeiro”, disse Bailey.

 

 

Fonte: Dark Reading

Autor: Jai Vijayan