Czy Bluetooth nigdy już nie będzie bezpieczny? BLUFFS
Вставка
- Опубліковано 18 чер 2024
- ᛒ Jak myślisz - czy da się złamać zabezpieczenia prawie wszystkich połączeń Bluetooth? Okazuje się, że podobno tak.
Źródła:
🧨 BLUFFS: Bluetooth Forward and Future Secrecy Attacks and Defenses
media.ccc.de/v/37c3-12342-blu...
📗 Encyclopedia of Cryptography and Security, nietania lektura
link.springer.com/referencewo...
Relevant xkcd: xkcd.com/2055/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
❤️ Dziękuję za Waszą uwagę.
Znajdziecie mnie również na:
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
Mastodonie infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Patronite @MateuszChrobok patronite.pl/MateuszChrobok
Podcasty na:
Anchor anchor.fm/mateusz-chrobok
Spotify open.spotify.com/show/6y6oWs2...
Apple Podcasts apple.co/3OwjvOh
Rozdziały:
00:00 Intro
01:06 Bluetooth
02:29 BLUFFS
04:49 Poufność
07:13 Entropia
13:06 Impostor
14:57 Zakres
17:21 Co Robić i Jak Żyć?
#Bluetooth #BLUFFS #37c3 #luka #podsłuchiwanie - Наука та технологія
o ironio. Oglądam ten film słuchając dźwięku na głośniku Bluetooth i klikam like myszką Bluetooth.
Moja żona ma wibrator na BT 😅
Wiem, nie musisz pisać w komentarzu ;)
Wiemy, czasem się przydaje 🥳
też mi się chwaliła jak cię nie było w domu ;D....@@D4RKJOY
I jak w tym kraju ma być dobrze? 😂
Projektuję właśnie urządzenie które ma wykorzystywać BT między innymi do konfiguracji, na ten jest to project niekomercyjny. O ile miałem w głowie temat a co jak ktoś się wepnie bez autoryzacji to ten film dał mi do myślenia i choć bardzo wątpię aby ta aplikacja była zagrożona tymi atakami to już mam dopisane kilka bezpieczników na wypadek "dziwnych danych" pochodzących od protokołu Haralda Sinozębnego. Dzięki za materiał 😁😁
Trzymam kciuki! Super wiqdomość, że film wzbudził iskre. Bardzo mnie to cieszy.
Dzięki za link do wykładu. Jestem w trakcie, dobry. Póki co streściłeś to elegancko 👍
Dzisiaj to haslo sie pamieta glownie przy rejestracji😂, a to o czym sasiad gada przez sluchawki BT to slysze przez sciane bez lamania kluczy😅
Często trzeba główkować żeby właśnie nie być Man in the middle 🤣
Zapewne sąsiad także cię słyszy.
Super jak zwykle :)
A pamiętacie jeszcze starą javową apkę na telefony sprzed ery smartfonów - BT INFO, którą wykorzystywało się do tzw. bluejackingu? 😊
Bez kitu zapomniałem kompletnie o tym
Jaaaaa! Pamiętam o tym! Bawiłem się tym w autobusie. Mina ludzi była bezcenna :D
Ty Mateusz jesteś mistrz świata, super kanał
Te wszystkie zabezpieczenia to sztuka dla sztuki. Jedyne co pozostaje to być pozytywną postacią ;)
2:03 Moja pierwsza komórką którą otrzymałem używaną po ojcu, Nokia 6310i miała już Bluetooth do użytku ze słuchawkami czy innymi akcesoriami audio bezprzewodowymi. :)
o mamy przycisk UA-cam gratulacje :)
Dzięki, to było bardzo potrzebne. Btw piszę to na bezprzewodowej klawiaturze i słuchawkach tws.
Bardzo zacny mateirał, super
mati Ty robisz taką robotą.
7:40 używanie myszki, budzi we mnie dreszczyk radości 😁😁😁
Bo nie mam własnej 🤷🏼♂️😉
xd
@MateuszChrobok czy mógłbyś zrobić film o bluetooth low energy? Czy bluetooth low energy jest bezpieczniejsze od zwykłego blutooth? czy jestem bezpieczny używająć myszki logitech z odbiornikiem unifying?
Merytoryka 100%, jest łapka i sub, jakaś kawa dla autora ? pozdro .
Tak to się roluje :-D Jak rolowanie długów.
A jak definiujesz zagrożenie w tym przypadku ? Przed czym chcesz się chronić? Przed kolegą w pracy który pojeździ kursorem po interfejsie graficznym ?
Hej Mateusz ostatnio mam dylemat jaka jest najlepsza przeglądarka . Więc mam pytanie jaka jest twoja i czy ja polecasz ? Pozdrawiam
Komentarz dla zasięgu
oglądałem ostatnio podcast z Mateuszem
do tej pory byłem przekonany, że to po prostu zajawkowy studenciak, który dzięki Ytbowi może się utrzymać, ale po podcastcie zrozumiałem, z jakiego kalibru osobą mamy tutaj doczynienia
hey Mateusz🖐️ ,Czy logowanie przez gmail jest tak samo bezpieczne jak login i hasło? Pozdrowienia,P.
w lipcu ma wyjść trzecia edycja encyklopedii ($1200 za papierową wersję)
Żądanie parowania Bluetooth:
Od: Mietek, wyłącz ten telewizor i zejdź na flaszkę.
Sparować z tym urządzeniem?
Ah typowy spam BLE którego ostatnio jest masa
a po co poprawiać?
a jak mają podsłuchiwać służby?
Dobra rada, żeby unikać domorosłej kryptografii. Niestety TLS nie da się dodać tam, gdzie protokół jest już zdefiniowany, jak HID: klawiatury, myszki, słuchawki, kamerki, itp. Dodatkowo TLS nie nadaje się do zastosowań, gdzie lepiej zaakceptować zgubienie jakiegoś pakietu niż retransmitować go w nieskończoność, jak chociażby transmisja dźwięku lub obrazu w czasie rzeczywistym.
Jako użyszkodnik takich tam słuchawek coś je z nazwy wymienił proszę o jakiś link do tej afery z producentem (tym co wie wszystko).
Mam nadzieję, że nikt mnie nie podsłuchuje, a jak już podsłuchuje, to podoba mu się to co słucham 👽🙃
czy logitech lightspeed działa w trybie Secure Connection?
5 miesiecy temu napotkalem na sytuacje w samolocie gdzie urzadzenie podpisane jako słuchawki próbowaly polaczyc sie wielokrotnie z moim telefonem, kilkukrotnie pod rząd. Czy jest istnieje możliwości aby ze sluchawek wybrać urzadzenie z ktorym chcemy sie sparować? (Bo ja takich nie spotkalem) czy byl to poprostu atak na urządzenie?
w metrze warszawskim tak zawieszano telefony zasypując je żądaniami parowania
To był pewnie tylko zwykły BLE Spam jakiegoś śmieszka.
Jeśli to była czyjaś pomyłka, to mogłeś zaakceptować, a następnie puścić coś niecnego na te słuchawki.
@@norbert.kiszka albo zaakceptować i zaobserwować atak ala rubber ducky
Każde połączenie kablowe będzie słabsze od światłowodu :-) I każde urządzenie podłaczone do sieci jest słabsze. Tylko po co na są potrzebi ci nie podłączeni ? ( i nie tylko mówię o urządzeniach )
Co do kabla - to nawet on nie musi być tak w pełni bezpieczny. Sam pamiętam, jak kiedyś pomagałem przeciągać kable dla kolegi, który zajmował się stawianeim sieci w pewnej przestrzeni biurowej i cała wiązka szła sobie korytkami nad sufitem podwieszanym, dochodząc do około 230 metrów do najdalszych biur i odpowiednio krtótsza odbijając po drodze do biur pośrednich.
I teraz wyobraźmy sobie, ze bardzo nam zależy na podsłuchaniu komunikacji w biurze 5, które jest nieco dalej od szafy serwerowej, oczywiście pozamykanej na 50 zamków szyfrowych rodem z NASA, gdzie się nie włamiemy, ale... akurat biuro numer 3 w połowie drogi jest do wynajęcia. Bierzemy ten lokal i któregoś dnia zostajemy po godzinach, gdy już wszyscy lokal opuszczą, stawiamy sobie drabinkę i grzebiemy nad sufitem, mając dostep do wszystkich kabli... możemy namierzyć próbując się kontaktować z biurem 5, czy coś - na tym się nei znam - w każdym razie jesteśmy w stanie stać się men in the middle po prostu fizycznie, wchodząc w sam środek komunikacji, a dokładniej w sam środek kabla.
Tak że ten... jeśli łączysz się kablowo nie czuj się zbyt bezpieczny, o ile nie masz kontroli nad tym kablem na całej jego długości. Ale też bez nadmiernej paranoi - nie musisz wysyłać kumpla posiadającego atomową łódź podwodną, żeby sprawdził światłowody na dnie Atlantyku, gdy łączysz się z serwerem w Stanach... jeśli potrzebujesz aż takiego poziomu tajności - proponuję wysłać zaufanego człowieka z fizycznym nośnikiem, aby się jednak do tych Stanów przeleciał... choć i taki na jakimś etapie dałoby się przechwycić i skopiować. Cóż... żyjemy w ciekawych czasach i zapewne wszyscy zginiemy;]
Mam Falsh Back jak jadąc autobusem nie pamiętam czy słuchając muzyki czy jakiegoś filmu dostałem powiadomienie że są nowe słuchawki do sparowania a pani na siedzeniu wyciągnęła rzeczone słuchawki. Miałem wtedy WTF dlaczego słuchawki ogłaszają się innym urządzeniom z BT że są włączone i chcą się z kimś połączyć narażając użytkownika na usłyszenie niepożądanych treści
nie ma kontaktu do Ciebie a jest pewien temat - REVOLUT - mega wygodne w podróżach i przy przelewaniu waluty.
jadnakze revolut wymaga naszych danych - dok ze zdjeciem, móglbyś się wypowiedziec na ten teamt?
Revolut to bank, co w tym dziwnego ze wymaga dokumentow??
5:10 Kompletnie tego nie rozumiesz. Problem tkwi zupełnie gdzie indziej. Protokół BT jest wadliwy z takiego powodu że gdy podsłuchasz transmisję zaszyfrowaną (ZAWSZE MOŻESZ TO ZROBIĆ byle jakim odbiornikiem radiowym) i do tego posiadasz zawartość tej transmisji NIESZYFROWANĄ/ZDESZYFROWANĄ to możesz wyliczyć klucze szyfrujące. Z tych kluczy możesz wyliczyć jakie będą kolejne klucze. Ale ... ZDESZYFROWANĄ wiaadomość/informację nie możesz uzyskać ODSZYFROWUJĄC KOMUNIKACJĘ, lecz w jakiś inny sposób. Poczytaj o np. Enigmie, tam łamano aktualne klucze szyfrujące za pomocą faktu że każda (lub prawie każda) wiadomość kończyła się słowami Heil Hitler, tak więc posiadano zdeszyfrowane 11 liter KAŻDEJ PRZECHWYCOWNEJ WIADOMOŚCI. To najczęściej (nie zawsze) wystarczało do ustalenia kluczy i odczytania całości depeszy.
Tak więc o ile ktoś podejrzy np. za pomocą przechwytywania ekranu przesyłaną informację, lub nawet podglądnie jaki utwór teraz właśnie słuchasz na słuchawkach (adres URL nagrania na UA-cam) to ... MA ZDESZYFROWANĄ TRANSMISJĘ i może wyliczyć klucze tej sesji. Oczywiście nie będzie to takie proste bo po drodze masz często przetworniki różnego rodzaju (np. filtry podbijające bassy itp.) ale masz ODNIESIENIE na które możesz ustawić np. sieć neuronową aby potrafiła sama sprawdzić czy trafiła już klucze prawidłowe czy nie.
A jak wyłączyć to Legacy?
I Ty Blutufie przeciwko mnie! 🔪🏛️Ta podatność brzmi tak prosto, że jestem w szoku, że nie jest masowo wykorzystywana od dawna
A propos słuchawek sprzed ćwierć wieku... jak ktoś przypadkiem znalazł w okolicach stacji metra Dworzec Gdański bezprzewodowe słuchawki SONY na BT, z tego co pamiętam w wersji 2.0, mniej więcej w okolicach 2008 roku - to poproszę o zwrot!
w filmie mowa o bluetooth ale z ieee 802.11 czyli znanym nam wifi jest praktycznie tak samo niestety xD
Co do książki to ona jest dość leciwa, więc Sci - Hub bez problemu sobie radzi :)
😮
3:08 najlepiej kiedy użądzenie niema ekranu i to wyskakuje
Dlatego właśnie "zdarza się", a nie "wymagane jest". Zdarza się, kiedy oba urządzenia mają ekrany.
Dobrym przykładem ataku bluetooth była ostatnia akcja w warszawskim metrze, gdzie ktoś celowo przez bluetooth zawieszał różne urządzenia
Niech zgadnę - tylko iPhony się zawieszały?
Otóż nie tym razem. Androidów niestety to też dotyczy ale już fixy poprawiają sytuację.
@@MateuszChrobok Liczyłem na śmieszne memy pokroju starożytnych run wyłączzjących telefon :)
Ja mam wszystko przewodowe.
No i taką komunikację można sobie 'nagrać', a później spokojnie zbrutforsować na klastrze zombiaków (spryciarzy którzy uznają, że tylko frajerzy kupują oryginalne gry) w kilka dni 😅
Ja kiedyś dostałem w gratisie taki kontroler do gier na bt do telefonu. Nie działało ale za to potem telefon sam mi włączał bt i się łączył z jakimś wirtualnym urządzeniem. (nawet w środku lasu z dala od cywilizacji)
Właśnie napisałeś o tym jak ktoś złamał Twój telefon.
@@norbert.kiszka Hyh, to chyba dla sportu ktoś zrobił bo żadnych dalszych konsekwencji nie było. (a potem to ja złamałem ten telefon fizycznie wrzucając go do wirówki ubrań)
Ale "kodek" szybko mignął 🤣
#37c3
Jeśli niektóre urządzenia nie są podatne z powodu, że nie pozwalają na niebezpieczne obniżenie wersji protokołu - to oznacza, ze ta podatność nie jest żadną nowością i wielu inżynierów jest jej świadomych i jej zapobiegają.
albo po prostu nie chciało im się implementować legacy wersji 😂
11:42 voice: bajt, text: bit
prawie oplułem kawą wszystko w około 17:58 gdy to zobaczyłem
U mnie wifi i bluetooth ma podobny zasięg.
To chyba jedyny kanał na YT, na którego nie napisałem jeszcze żadnego głupiego/bezsensownego/negatywnego komentarza :D
Czy byłaby szansa na film o przechwytywaniu sesji? Czy trzeba się wylogowywać na swoim komputerze z serwisów typu FB, Twitter (X) i innych, czy tylko na obcych komputerach? Które serwisy pozwolą na wykorzystanie przejętej sesji na innym sprzęcie, a które są bezpieczne? Szukam takich właśnie informacji 🙂
Przechytrzyłem system. Używam blutacza a ten jest odporny na hakierów.
"wiedz że tanio nie będzie". Pewna Aleksandra by się mam wrażenie nie zgodziła 🙃
Pewnie dlatego Apple ogranicza ten protokół do niezbędnego minimum.
Ale na pewno mowa o blutuśie?
Pomyłka chodzi chyba o blutacz
:)
Czy tylko we mnie coś umiera jak słychać to walenie w klawiaturę na planszach rozdziału?
Tak.
Czyli nie dość że wolne ale jeszcze niebezpieczne
No baaa wystarczy ze sie wlamia i prześladuja
Panie. Jak mim? Przecież połączenie robisz jak stoisz przy urzadzeniu i jaki probojesz się wcisnac to urządzenia już się polacza. Innymi słowy musialbys zwiesic jedno urządzenie lub opoznic aby się wcisnac ze swoim. Brzmi jak praktycznie nie wykonywalne w normalnych warunkach.
Można zakłócić jammerem i będzie się łączyć od nowa.
@@ukaszwos8264 no ale przy kilku metrach to zagłuszysz również urządzenie próbujące się wcisnąć w komunikacje.
Ten bt jest zepsuty od 24 lat i dopiero dzisiaj UA-cam gafam o tym usłyszał?
750 € za e-booka? Ciekawe ile kopii poszło w świat 😛
9:38 przycisk yt na półce się zepsuł
lajka i lajka ide zjeść jajka
Likwidujmy dalej port minijack w telefonach 🤦♂️
dlatego ja nie korzystam wogule z blueooth juz dawno miałem świadomość tego ze to przestarzała technologia
BLE 😂😂
1 sekundę temu
Brak wyświetleń
Brak komentarzy
Brak polubień
Pierwszy
super czyli bt to gówno
Mamy jasnosc pozdrawiam
Jeżeli potrzebujesz poufności - nie drzyj ryja na cały autobus.
Pierwszy
Ble 🤮😄
bluetooth to jakaś pomyłka. Ta technologia powinna była umrzeć dawno temu i być zastąpiona czymś co się do czegoś nadaje. Ma problemy, które od dekady nie są naprawiane i nie wygląda na to że kiedykolwiek będą naprawione.
bluetootha tylko używam do radia w samochodzie . nie potrzebny mi w ogóle :]
Zmień te miniaturki, bo w końcu przestanę oglądać. Jeden z najlepszych kanałów, ale mam wrażenie, że starasz się skupić nie na tej grupie na której poninenenś
Gówno kogo obchodzi twoja opinia typie. Nie podoba się, to nie oglądaj
przecież te miniaturki są stworzone czysto ironicznie
Tam są drzwi
W czym masz problem, miniaturki są ok
Ja uwielbiam te miniaturki 😊 niczego nie zmieniaj
Ja zawsze wolę kabelek niż blu tu i tam 😂
A zobacz ten film
"how does bluetooth even exist???" na kanale "this"
750 € za e-booka? Ciekawe ile kopii poszło w świat 😛
A zobacz ten film
"how does bluetooth even exist???" na kanale "this"