Исследователь в области информационной безопасности Kiyomi и разработчик Emilia опубликовали на GitHub проект на Python под названием Wall of Flippers, который позволяет обнаруживать и логировать спам-атаки по Bluetooth (используя протокол Bluetooth Low Energy), запускаемые с устройств Flipper Zero и смартфонов на Android. Цель проекта — собирать данные, чтобы была возможность обнаружить факт инцидента, отреагировать на нештатную ситуацию и попытаться привлечь к ответственности организаторов DoS-атак («отказ в обслуживании») с бесконечным числом оповещений по Bluetooth на пользователей iPhone, Android и Windows. Код проекта выложен в открытый доступ под лицензией MIT.
Скрипт на Python проекта проект Wall of Flippers (WoF), который на данный момент может работать в Linux и Windows, предназначен для непрерывной работы и постоянно информирует пользователя о статусе ближайших устройств с Bluetooth LE, любых потенциальных угрозах и общей активности.
На главном экране отображается заголовок проекта в ASCII, а также таблицы активных и автономных устройств и обнаруженные пакеты вероятных атак по Bluetooth LE.
Скрипт WoF анализирует полученные пакеты по Bluetooth LE на предмет соответствия набору предопределённых шаблонов, которые считаются признаками вредоносной активности. В настоящее время Wall of Flippers может обнаружить следующие инциденты (проект находится в стадии разработки и продолжает получать обновления опций и возможностей):
обнаружение Flipper Zero поблизости (Bluetooth должен быть включен);
сбор и архивирование логов с Flipper Zero Flipper ;
сбой в работе iOS и обнаружение всплывающих окон на iPhone через атаку на Bluetooth LE;
сбой в работе смартфонов на Android и обнаружение всплывающих окон через атаку на Bluetooth LE;
обнаружение попытки атаки по Bluetooth LE в Windows с помощью Swift Pair;
обнаружение атаки LoveSpouse по Bluetooth LE.
В режиме пассивного прослушивания WoF фиксирует MAC-адреса устройств, рассылающих спам, которые являются их основным идентификатором, а также уровени сигнала, которые могут использоваться для определения поблизости атакуемого мобильного устройства злоумышленника, и данные, содержащиеся в пакетах Bluetooth LE.
В начале ноября разработчик Саймон Данкельманн выпустил мобильное приложение Bluetooth LE Spam (файлы Apk), которое позволяет спамить пользователей ОС Android и Windows оповещениями по Bluetooth. Проект выложен на GitHub в экспериментальных и исследовательских целях.
В сентябре эксперты показали, как с помощью модифицированной прошивки для Flipper Zero можно запустить процедуру постоянной отправки по Bluetooth (используя протокол Bluetooth Low Energy) имитации сигнала сопряжения радиопротокола AirPods. В этом случае на iPhone появляется всплывающее уведомление о возможности подключения сторонних AirPods. Если в процессе бесконечной атаки пользователь закроет окно с уведомлением, то на смартфоне сразу же появляется другое и так далее. В результате пользоваться iPhone в зоне действия Bluetooth от Flipper Zero становится невозможно.
В конце октября исследователи ИБ добавили в специальную прошивку для Flipper Zero под названием Xtreme возможность проведения спам-атак с оповещениями по Bluetooth на устройства с ОС Android и Windows.
Устройства на ОС Android 14 и Windows 11 по умолчанию отображают уведомления о запросах на подключение по Bluetooth, поэтому постоянные отправки пакетов через Flipper Zero могут вызвать проблемы у пользователей.
Атака по Bluetooth на версиях iOS до 17.1 включительно (на моделях от iPhone 8 до iPhone 14 Pro) работает даже при включённом авиарежиме. Прервать её возможно только путём полного отключения Bluetooth в настройках iOS, а не тапом по иконке в Центре управления. Apple в обновлении iOS 17.2 закрыла уязвимость, которая позволяла блокировать работу iPhone по Bluetooth с помощью Flipper Zero.
Негативный побочный эффект спам-атак по Bluetooth LE заключается в том, что ранее подключённые по Bluetooth устройства на атакуемом смартфоне или ПК, такие как мыши и клавиатуры, могут перестать отвечать на запросы во время рассылок спама. Фактически приложение Bluetooth LE Spam позволяет провести атаку типа «отказ в обслуживании» (Denial of Service).
Профильные эксперты выяснили, что в случае проведения спам-атак по Bluetooth LE также могут возникать сбои в работе своих считывателей платежей Square и беспроводных контроллеров инсулиновых помп. Пользователи со слуховыми аппаратами с поддержкой Bluetooth и инструментами мониторинга сердечного ритма могут столкнуться с неправильной работой своих устройств.
«Для медицинского оборудования с поддержкой Bluetooth LE подобная спам-атака как минимум приводит к ухудшению качества жизни пользователей. В некоторых ситуациях это не угрожает напрямую жизни человека из-за сбоя. Но другим может не повезти», — предупредили об атаках по Bluetooth LE профильные исследователи по ИБ.
