गंभीर ब्लूटूथ दोष से लाखों लोगों पर हमला हो सकता है - समीक्षाविशेषज्ञ.नेट

संपादक की टिप्पणी: हमने इस आलेख को Apple और Microsoft द्वारा जारी किए गए अद्यतनों की जानकारी के साथ अद्यतन किया है जो उपकरणों को KNOB भेद्यता से बचाते हैं। आप यहां पैच के लिंक के साथ प्रभावित कंपनियों की पूरी सूची पा सकते हैं।

अपने ब्लूटूथ डिवाइस को लैपटॉप या स्मार्टफोन से कनेक्ट करने से पहले उन्हें अपडेट करना न भूलें।

सुरक्षा शोधकर्ताओं ने हाल ही में एक ब्लूटूथ भेद्यता की खोज की जो इतनी गंभीर है कि वे "सभी की सुरक्षा और गोपनीयता के लिए खतरा" उपयोगकर्ताओं को मानते हैं।

सेंटर फॉर आईटी-सिक्योरिटी, प्राइवेसी एंड एकाउंटेबिलिटी (CISPA) ने ICASI और इसके सदस्यों, जैसे कि Microsoft, Apple और Amazon के साथ समन्वय में KNOB (ब्लूटूथ की प्रमुख बातचीत) नामक एक विनाशकारी ब्लूटूथ दोष पर एक रिपोर्ट जारी की, जो बुरे अभिनेताओं को देता है। दो उपकरणों के बीच यातायात की निगरानी और हेरफेर करने की क्षमता। हमला ब्लूटूथ बीआर/ईडीआर (ब्लूटूथ क्लासिक), या ब्लूटूथ के पुराने संस्करण को प्रभावित करता है जो उपकरणों (आमतौर पर स्पीकर और हेडफ़ोन) के बीच एक छोटी दूरी के वायरलेस कनेक्शन को स्थापित करता है।

भेद्यता दो ब्लूटूथ डिवाइसों के बीच एक एन्क्रिप्टेड कनेक्शन स्थापित करने की प्रक्रिया से उत्पन्न होती है। एक हमलावर डिवाइस इस प्रक्रिया में हस्तक्षेप कर सकता है, एन्क्रिप्शन कुंजी को एक बाइट तक छोटा कर सकता है, फिर एक कनेक्शन हासिल करने के लिए आसानी से ब्रूट फोर्स कोड को क्रैक कर सकता है। वहां से, हमलावर दो उपकरणों के बीच बहने वाले सभी ट्रैफ़िक को डिक्रिप्ट कर सकता है।

ब्लूटूथ एसआईजी द्वारा पोस्ट किए गए एक सुरक्षा नोटिस के अनुसार, जो संगठन ब्लूटूथ मानकों को विकसित करता है, यहां तक कि जिन उपकरणों को न्यूनतम कुंजी लंबाई की आवश्यकता होती है, वे यह सत्यापित करने के लिए कदम नहीं उठा सकते हैं कि एन्क्रिप्शन कुंजी उन आवश्यकताओं को पूरा करती है। मामले को बदतर बनाने के लिए, शोधकर्ताओं का कहना है कि हमले का पता लगाना मुश्किल है क्योंकि एन्क्रिप्शन बातचीत उपयोगकर्ता के लिए पारदर्शी रहती है और क्योंकि संक्षिप्त एन्क्रिप्शन कुंजी अभी भी ब्लूटूथ के सभी संस्करणों के तहत शिकायत है।

सौभाग्य से, कई तकनीकी निर्माताओं ने पहले ही भेद्यता के लिए पैच जारी कर दिए हैं। Apple ने 22 जुलाई को iPhones, iPads और iPods के लिए एक सुरक्षा अद्यतन को आगे बढ़ाया जो बेहतर इनपुट सत्यापन के साथ हमले से बचाता है। माइक्रोसॉफ्ट ने अपना काम किया, विंडोज उपकरणों के लिए एक अपडेट जारी किया जो डिफ़ॉल्ट 7-ऑक्टेट न्यूनतम एन्क्रिप्शन कुंजी लंबाई सेट करता है। वह बेहतर सुरक्षा उपाय डिफ़ॉल्ट रूप से अक्षम है। आप अपने विंडोज मशीन पर रजिस्ट्री संपादक का उपयोग करके सुविधा को सक्षम करने के लिए इन निर्देशों का पालन कर सकते हैं।

ICASI ने उन कंपनियों की एक उपयोगी सूची प्रकाशित की जो प्रभावित हैं और नहीं हैं और उन कंपनियों के लिए पैच के लिंक शामिल हैं जो हैं।

शोधकर्ताओं ने नेक्सस 5 और मोटोरोला जी3 स्मार्टफोन का उपयोग करके हमले का परीक्षण किया। नेक्सस 5 को मैन-इन-द-मिडिल हमलावर के रूप में इस्तेमाल किया गया था जिसने ब्लूटूथ फर्मवेयर में कोड जोड़ा था। फिर उन्होंने एक लेनोवो थिंकपैड X1 कार्बन लैपटॉप का उपयोग एन्क्रिप्शन कोड को बलपूर्वक करने और इंटरसेप्ट किए गए संदेशों को डिक्रिप्ट करने के लिए किया। निर्माताओं ब्रॉडकॉम, क्वालकॉम, ऐप्पल और चिकोनी से ब्लूटूथ चिप्स की एक विस्तृत श्रृंखला पर हमला सफलतापूर्वक किया गया था।

"KNOB हमला सभी ब्लूटूथ उपयोगकर्ताओं की सुरक्षा और गोपनीयता के लिए एक गंभीर खतरा है," CISPA ने अपनी रिपोर्ट में लिखा है। "हम व्यापक रूप से उपयोग किए जाने वाले और 20 साल पुराने मानक में ऐसे मूलभूत मुद्दों की खोज करके आश्चर्यचकित थे।"

इससे पहले कि आप अपने नए वायरलेस हेडफ़ोन को फेंक दें, यह ध्यान देने योग्य है कि ब्लूटूथ डिवाइस केवल कुछ शर्तों के तहत असुरक्षित हैं। चूंकि यह ब्लूटूथ पर हमला है, इसलिए कनेक्शन स्थापित करने के लिए हमलावर को दोनों उपकरणों की सीमा में होना चाहिए। यदि उपकरणों में से एक कमजोर नहीं होता, तो हमला विफल हो जाता। इसके अलावा, जैसा कि ब्लूटूथ एसआईजी नोट करता है, "हमलावर करने वाले उपकरण को दो उपकरणों के बीच महत्वपूर्ण लंबाई के वार्ता संदेशों को इंटरसेप्ट, हेरफेर और पुन: प्रेषित करने की आवश्यकता होगी, जबकि दोनों से प्रसारण को भी एक संकीर्ण समय खिड़की के भीतर अवरुद्ध करना होगा।"

दो उपकरणों के बीच यातायात को बाधित करने के लिए इस्तेमाल किए जा रहे शोषण के कोई ज्ञात मामले नहीं हैं।

CISPA ब्लूटूथ मानक में "अस्पष्ट वाक्यांश" पर भेद्यता को दोष देता है और ब्लूटूथ SIG से विनिर्देश को तुरंत अपडेट करने का आग्रह करता है, "जब तक विनिर्देश तय नहीं होता है, हम किसी भी लिंक-लेयर एन्क्रिप्टेड ब्लूटूथ BR/EDR लिंक पर भरोसा करने की अनुशंसा नहीं करते हैं," CISPA लिखता है।

अब तक, ब्लूटूथ एसआईजी ने बीआर/ईडीआर कनेक्शन के लिए, एक से अधिक ऑक्टेट की न्यूनतम एन्क्रिप्शन लंबाई की सिफारिश करने के लिए ब्लूटूथ कोर विशिष्टता को अपडेट करके प्रतिक्रिया दी। संगठन नए अनुशंसित मानकों को लागू करने के लिए तकनीकी कंपनियों से मौजूदा उत्पादों को अपडेट करने का भी आग्रह कर रहा है।

इस हमले से खुद को बचाने के लिए आप क्या कर सकते हैं? हमेशा की तरह, नवीनतम सिस्टम अपडेट इंस्टॉल करके अपने उपकरणों को अप-टू-डेट रखें।

विंडोज 10 पर ब्लूटूथ की समस्या आ रही है? यहाँ पर क्यों

गंभीर ब्लूटूथ दोष से लाखों लोगों पर हमला हो सकता है - समीक्षाविशेषज्ञ.नेट

MacOS में नाइट शिफ्ट का उपयोग कैसे करें - समीक्षाविशेषज्ञ.नेट

अपने Chromebook का डेस्कटॉप वॉलपेपर कैसे बदलें - LAPTOP - समीक्षाविशेषज्ञ.नेट

Chrome बुक पर 100GB Google डिस्क स्थान कैसे प्राप्त करें - समीक्षाविशेषज्ञ.नेट

मैक ओएस एक्स योसेमाइट अधिसूचना केंद्र को कैसे अनुकूलित करें - समीक्षाविशेषज्ञ.नेट

Chromebook पर स्काइप का उपयोग कैसे करें - समीक्षाविशेषज्ञ.नेट

एपिक मैकबुक प्रो बिक्री मूल्य में $400 की कटौती - समीक्षाविशेषज्ञ.नेट

सैमसंग का विशाल गैलेक्सी व्यू 2 टैबलेट 26 अप्रैल को $740 में लॉन्च हुआ - समीक्षाविशेषज्ञ.नेट

रेज़र टेक सपोर्ट में बहुत सारे ब्रांड्स से आगे निकल गया - समीक्षाविशेषज्ञ.नेट

IOS 13 अंत में iPads को वास्तविक लैपटॉप प्रतिस्थापन में बदल सकता है - समीक्षाविशेषज्ञ.नेट

यह क्रोम एक्सटेंशन आपके गन्दा जीमेल इनबॉक्स को साफ करता है - समीक्षाविशेषज्ञ.नेट

मैंने टाल दिया और Apple AirPods Pro खरीद लिया - आपको भी ऐसा क्यों करना चाहिए - समीक्षाविशेषज्ञ.नेट

आउटराइडर्स की समीक्षा - समीक्षाविशेषज्ञ.नेट

विंडोज 10 में स्क्रीन को रोटेट कैसे करें - समीक्षाविशेषज्ञ.नेट

SimonSays.ai प्रतिलेखन और अनुवाद समीक्षा - समीक्षाविशेषज्ञ.नेट

Dell अक्षांश 7320 वियोज्य समीक्षा: सरफेस प्रो को पछाड़ना - समीक्षाविशेषज्ञ.नेट