Fabrikanten, leveranciers en ontwikkelaars doen er verstandig aan om BrakTooth bluetooth-kwetsbaarheden in hun producten te patchen, aangezien proof-of-concept exploits online zijn verschenen, zo meldt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

In september waarschuwden onderzoekers voor zestien nieuwe bluetooth-kwetsbaarheden genaamd BrakTooth waardoor aanvallers via bluetooth een denial of service kunnen veroorzaken en in bepaalde gevallen ook willekeurige code op apparaten kunnen uitvoeren. Meer dan veertienhonderd producten zouden kwetsbaar voor BrakTooth zijn, hoewel sommige van de bluetooth-lekken inmiddels zijn gepatcht.

Door het versturen van speciaal geprepareerde bluetooth-pakketjes is het mogelijk om bijvoorbeeld bluetooth-apparaten vast te laten lopen of te laten crashen. De BrakTooth-lekken bevinden zich de bluetooth-libraries van een groot aantal bluetooth-chips van onder andere Intel, Qualcomm en Texas Instruments. De kwetsbare chips worden in allerlei apparaten gebruikt, waaronder laptops van Microsoft en Dell, smartphones van Sony en Oppo en allerlei andere bluetooth-apparaten.

Aangezien nog niet alle fabrikanten beveiligingsupdates hebben uitgebracht besloten de onderzoekers een proof-of-concept tool pas eind oktober openbaar maken. Deze tool is nu online verschijnen, wat aanleiding voor het CISA is om fabrikanten en leveranciers nogmaals te waarschuwen hun producten te patchen of andere workarounds toe te te passen.