Akár milliárdnyi millió Bluetooth eszközt érintett lehet

Felhasználói fiók Hírlevél feliratkozás

Akár milliárdnyi millió Bluetooth eszközt érintett lehet

IT biztonság
/
2020-05-25

Tekintettel arra, hogy az elmúlt időszakban dinamikus bővülést mutatott az érintésmentes – pl. okostelefonokra, mint azonosító eszközre („token”) épülő – beléptető rendszerek piaca, különösen érdemes odafigyelni a Lausannei Szövetségi Műszaki Egyetem (EPFL) kutatóinak figyelmeztetésére, akik a Bluetooth (BT) rejlő újonnan feltárt sérülékenységre hívták fel a figyelmet.

A szakértők által „Bluetooth Megszemélyesítéses Támadások” (az angol szavak rövidítése alapján: BIAS) címkével illetett sérülékenység lehetőséget biztosít a támadók számára egy korábban párosított BT eszköz megtévesztésére azáltal, hogy kiadja magát – egy ún. hosszútávú kulccsal korábban már csatlakoztatott – másik BT eszköznek. A BIAS-t az teszi lehetővé, hogy a hosszútávú kulccsal egyszer már összekötött eszközpár között a BT szabvány nem tesz feltétlenül szükségessé újbóli hitelesítést egy későbbi kommunikációs folyamat esetén. A BIAS-t más támadásokkal (pl. KNOB) kombinálva, a támadó kierőszakolhatja a titkosítási kulcsot, s ezzel visszafejthetővé válhat a korábbi kommunikáció. A sikeres BIAS feltétele, hogy az elkövetőnek a támadott céleszköz vezetéknélküli kommunikációs hatósugarában el kell helyeznie saját BT készüléket és rendelkeznie kell egy már korábban csatlakoztatott eszköz BT címével. Ez azt jelenti, hogy személyes jelenlétet legfeljebb a támadó eszköz elhelyezése kíván, ezt követően (megfelelő internet kapcsolat megléte esetén) akár a világ ellentétes pontjáról is kivitelezhető a támadás. A BT szabványosítását felügyelő szervezet (Bluetooth SIG) a probléma megoldása érdekében javasolja a BT eszközök és szoftvere fejlesztőinél elérhető frissítések telepítését.

Forrás: Security Affairs