กลุ่มนักวิจัยจาก Singapore University of Technology and Design ได้ออกมาเปิดเผยชุดช่องโหว่กว่า 12 รายการที่เกิดขึ้นกับการ Implement ของ Bluetooth Low Energy (BLE) SDK ซึ่งเกิดจาก Vendor ที่ผลิต SoC (System-on-Chip) หลายเจ้าเช่น Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics และ Telink Semiconductor
ไอเดียก็คือปกติแล้วผู้ผลิตอุปกรณ์ IoT หรือ Smart Devices จะซื้อชิพสำเร็จ (SoC) จากบริษัทผู้ผลิตต่างๆ ซึ่งบริษัทต้นทางเหล่านั้นจะให้ BLE SDK มาแล้วเพื่อให้นำไปใช้งานกับ BLE (โปรโตคอลที่ถูกออกแบบมาให้ใช้ไฟน้อยนิยมใช้กับอุปกรณ์มือถือและ IoT) ประเด็นคือกลุ่มนักวิจัยได้ทดสอบ SDK เหล่านั้นและพบกลุ่มช่องโหว่มากกว่า 10 รายการ โดยตั้งชื่อให้ว่า ‘SweynTooth’
โดยช่องโหว่ SweynTooth นี้สามารถแบ่งประเภทได้ 3 แบบ คือ ทำให้ทำงานผิดพลาด ทำให้อุปกรณ์รีบูตและเข้าสู่สภาวะ Deadlock และการลัดผ่านการป้องกันฟีเจอร์ด้านความมั่นคงปลอดภัย
ปัจจุบันนักวิจัยได้แจ้งแก่ผู้ผลิตแล้ว แต่ก็คาดว่ายังต้องใช้เวลาในการอัพเดตตามขั้นตอนอีกพักใหญ่ อย่างไรก็ตามจากการสืบค้นพบว่ามีผลิตภัณฑ์กว่า 480 รายการที่น่าจะได้รับผลกระทบจากช่องโหว่อย่าง อุปกรณ์อัจฉริยะต่างๆ อุปกรณ์ทางการแพทย์ ซึ่งกระทบกับผลิตภัณฑ์ของแบรนด์ดัง เช่น FitBit, Samsung และ Xiaomi ด้วย อย่างไรก็ตามช่องโหว่นี้ไม่สามารถถูกใช้ผ่านอินเทอร์เน็ตได้เพราะจะต้องเข้าไปในระยะของ BLE เท่านั้น ถึงอย่างนั้นผู้ใช้งานก็ควรติดตามอัพเดตครับ ผู้สนใจสามารถศึกษารายละเอียดเพิ่มเติมได้ที่เว็บไซต์ https://asset-group.github.io/disclosures/sweyntooth/
ขอขอบคุณแหล่งที่มา :
https://www.securityweek.com/sweyntooth-bluetooth-vulnerabilities-expose-many-devices-attacks