O vulnerabilitate Bluetooth a expus smartphone-uri, laptopuri şi dispozitive smart-home unor atacuri BIAS

0
Publicat:
Ultima actualizare:

O echipă de cercetători a dezvăluit o nouă vulnerabilitate în protocolul de comunicaţii wireless Bluetooth care expune o gamă largă de dispozitive, cum ar fi smartphone-uri, laptopuri şi dispozitive smart-home, la aşa-numitele atacuri Bluetooth Impersonation Attacks (BIAS).

Atacurile au devenit posibile din cauza lacunelor din specificaţia Bluetooth Classics, motiv pentru care orice dispozitiv Bluetooth compatibil cu standardul amintit poate să fie vulnerabil, potrivit cercetătorilor Daniele Antonioli, Kasper Rasmussen şi Nils Ole Tippenhauer, care au făcut această descoperire, descrisă într-o lucrare tehnică.

Cercetătorii au testat lacuna de securitate pe o varietate de dispozitive, inclusiv laptopuri, tablete şi smartphone-uri dotate cu diferite versiuni ale protocolului Bluetooth, de la diferiţi furnizori cunoscuţi. „Am efectuat atacuri BIAS asupra a 28 de cipuri Bluetooth unice (au fost atacate 30 de dispozitive diferite). În momentul redactării acestui articol, am putut testa cipuri de la Cypress, Qualcomm, Apple, Intel, Samsung şi CSR. Toate dispozitivele pe care le-am testat au fost vulnerabile atacului BIAS. ”

Lista de dispozitive testate:

Atacurile BIAS sunt primul tip de atac care a reuşit să treacă peste procedurile de autentificare Bluetooth care au loc în timpul stabilirii unei conexiuni sigure, a declarat echipa. Vulnerabilităţile care sunt exploatate în atacuri sunt legate de lacune în integralitatea protecţiei, criptării şi autentificării reciproce.

În timpul asocierii a două dispozitive, este generată o cheie cu valabilitate pe termen lung, care conectează dispozitivele împreună. După ce are loc acest proces, de fiecare dată când se stabileşte o conexiune sigură, se foloseşte o altă cheie de sesiune care este extrapolată de la cheia pe termen lung şi de la alţi factori publici.

Exploatând vulnerabilitatea, un atacator este apoi capabil să impersoneze unul dintre dispozitivele care a trecut prin procesul de autentificare şi s-a asociat cu celălalt dispozitiv, fără să ştie cheia de validare pe termen lung. Atacatorii pot prelua apoi controlul sau pot sustrage date sensibile de pe celălalt dispozitiv.

Videoclipul arată cum funcţionează un atac BIAS:

Cercetătorii au contactat Bluetooth Special Interest Group (Bluetooth SIG). Organizaţia care supraveghează dezvoltarea standardelor Bluetooth a recunoscut existenţa defectului menţionat. În cazul în care nu sunteţi sigur dacă dispozitivul dvs. este vulnerabil, echipa oferă următoarele clarificări:

Am făcut cunoscut acest tip de atac încă din decembrie 2019, deci este posibil ca unii furnizori să fi implementat deja soluţii de rezolvare a vulnerabilităţii pe dispozitivele lor. Deci, răspunsul scurt este: dacă dispozitivul dvs. nu a fost actualizat după decembrie 2019, este probabil vulnerabil. Dispozitivele actualizate ulterior ar putea fi remediate."

Antonioli, Tippenhauer şi Rasmussen au în spate o istorie de identificare a unor vulnerabilităţi în protocoloul Bluetooth, fiind cei care au descoperit şi dezvăluit atacul Key Negotiation of Bluetooth (KNOB) în august 2019. Cercetătorii au afirmat că un atac BIAS şi KNOB utilizat în tandem ar putea avea consecinţe grave. Descriind combinaţia ca fiind inedită şi puternică, au prezentat un exemplu al unui astfel de atac, spunând: „Atacatorul poate, de exemplu, să impersoneze destinatarul unui fişier sensibil şi să recupereze textul complet sau să impersoneze o procedură de deblocare şi să deblocheze un dispozitiv, trimiţând comenzi criptate“.

La începutul acestui an, a fost descoperită o eroare critică în implementarea Bluetooth pe sistemul Android, care a permis executarea de la distanţă a unui cod software pe sistemul vizat în atac, fără interacţiunea utilizatorului. Google a lansat o actualizare pentru această eroare.

Mai multe pentru tine:
Un obiect unic pe teritoriul fostei provincii romane Dacia, descoperit la Turda
Cifrele oficiale cresc, dar veniturile resimțite nu țin pasul: „Salariul mediu nu reflectă realitatea românilor”
Angajații pot cere bani în plus pentru munca de noapte. Codul Muncii a fost modificat
Oana Roman nu îl mai menajează pe Botezatu! „Se îmbracă de zici că vrea să impresioneze un extraterestru cocalar”
I-a donat propriul rinichi, dar n-a fost invitată la nunta Selenei Gomez. Cum explică donatoarea trădarea
Eduard, un copil de 10 ani, crescut de bunici și abandonat de părinți, luptă pentru viață! A vomitat sânge și are nevoie de o operație urgentă la inimă. AJUTĂ ȘI TU!
Cauza morții bateristului Marius Keseri de la Direcția 5. Prietenii rup tăcerea. „Boala cumplită îl schimbase, nu-l mai recunoșteai. Venea la biserică să se roage”. Ultimele fotografii
Alimentul care nu trebuie să lipsească din farfuriile românilor. Dr. Virgiliu Stroescu îl recomandă în fiecare zi: „Ne curăță și ne vindecă tot organismul”
De ce Eugen Cristea și Anca Pandrea simt în casă energia persoanelor moarte: „Nu oricine poate”. Și Mihai Onilă are o legătură paranormală cu fiica-înger: „O aud mental”
Femeile care au înfruntat foamea, frica și moartea: adevărul despre cum a distrus Uniunea Sovietică Moldova anilor ’40
Neliniște la palat! Ce crede familia regală britanică despre apariția lui Meghan Markle la Săptămâna Modei de la Paris