本月初，安全研究人員披露了 16 個影響諸多流行 SoC 芯片組的藍牙軟件堆棧漏洞，用于筆記本電腦、智能手機、工業(yè)與 IoT 設(shè)備的 1400 款芯片組都未能幸免。若被黑客利用，這組統(tǒng)稱為“BrakTooth”的藍牙漏洞，或被用于崩潰、凍結(jié)、或接管易受攻擊的設(shè)備。在最壞的情況下，攻擊者還可執(zhí)行惡意代碼并接管整個系統(tǒng)。

研究人員表示，測試期間，他們只檢查了來自 11 個供應(yīng)商的 13 款 SoC 板的藍牙軟件堆棧。

但隨著研究的深入，他們發(fā)現(xiàn)相同的藍牙固件，有可能在 1400 多款芯片組中得到應(yīng)用。

這些芯片組被用于各種設(shè)備的基礎(chǔ)功能模塊，且涵蓋了筆記本電腦、智能手機、工業(yè)設(shè)備、以及大量智能“物聯(lián)網(wǎng)”設(shè)備。

據(jù)推測，受影響的設(shè)備數(shù)量，達到了數(shù)十億的規(guī)模。至于 BrakTooth 造成的問題的嚴重程度，則取決于不同的硬件。

1. Arbitrary Code Execution on ESP32 via Bluetooth Classic (BR_EDR)(via)

其中最糟糕的，莫過于 CVE-2021-28139 。因為它允許遠程攻擊者通過藍牙 LMP 數(shù)據(jù)包，在易受攻擊的設(shè)備上運行自己的惡意代碼。

研究團隊指出，該漏洞會影響基于 Espressif System 的 ESP32 SoC 板而構(gòu)建的智能與工業(yè)設(shè)備，并且波及其它 1400 款商用產(chǎn)品中的大多數(shù)。

[[422172]]

不難推測，其中一些產(chǎn)品都有重復(fù)使用相同的藍牙軟件堆棧。至于其它 BrakTooth 隱患，雖然相比之下沒有那么嚴重，但它們還是對行業(yè)造成了較大的困擾。

比如幾個漏洞可被用于基于錯誤格式的藍牙 LMP(鏈接管理器協(xié)議)數(shù)據(jù)包來轟炸智能機 / 筆記本電腦的藍牙服務(wù)，并最終導(dǎo)致其陷入崩潰。

易受此類漏洞攻擊的設(shè)備，包括了微軟的Surface筆記本電腦、戴爾臺式機、以及多款基于高通芯片組的智能機。

此外攻擊者還可利用截斷、超大或無序的藍牙 LMP 數(shù)據(jù)包，使設(shè)備也陷入完全崩潰的狀態(tài)。如視頻演示所示，此時用戶將不得不手動重啟設(shè)備。

2. BrakTooth - Invalid Timing Accuracy attack on Qualcomm based phones(via)

研究團隊稱，所有 BrakTooth 攻擊都可利用價格低于 15 美元的現(xiàn)成藍牙設(shè)備來發(fā)起。而在其測試過的 13 款 SoC 芯片組中，就總共曝出了多達 16 個漏洞。

遺憾的是，盡管研究人員早在漏洞披露的數(shù)月之前，就已經(jīng)向所有 11 家供應(yīng)商發(fā)去了通知。但在 90 天的寬限期過后，并非所有供應(yīng)商都及時地完成了漏洞修復(fù)補丁的制作。

截止目前，只有 Espressif Systems、英飛凌(前 Cypress)和 Bluetrum 已經(jīng)發(fā)布了相關(guān)漏洞補丁，更讓人無語的是，德州儀器明確表示他們懶得修復(fù)影響自家芯片組的相關(guān)缺陷。

其它幾家供應(yīng)商承認了研究團隊的漏洞發(fā)現(xiàn)，但無法給出安全補丁的明確發(fā)布日期，理由是需要花時間來對每個影響自家產(chǎn)品和軟件堆棧的 BrakTooth 漏洞進行內(nèi)部排查。

最后，負責(zé)指定藍牙標準的 Bluetooth SIG 的一位發(fā)言人告訴 The Record，稱他們已經(jīng)意識到了這些問題，但無法向供應(yīng)商施加壓力。

理由是 BrakTooth 對標準本身沒有影響，所以需要依靠各家供應(yīng)商自己去解決。

3. BrakTooth - Feature Response Flooding on Audio Products(via)

綜上所述，由于距離補丁的全面推出還有一段時間，研究團隊也不得不推遲了任何概念驗證代碼的披露。

而是設(shè)置了一份網(wǎng)絡(luò)表單，以敦促供應(yīng)商與之取得聯(lián)系，并獲取測試自家設(shè)備的相關(guān)代碼。