Blurtooth hackerrek inguruko gailuetara konektatzeko aukera ematen duen BT ahultasuna

Blutooth-erasoa

Urtean berriki agerian dagoen ahultasuna haririk gabeko estandarra Bluetootsek hackerrak gailuetara konektatzea baimendu dezake eremu jakin batean urrunetik eta erabiltzaileen aplikazioetara sartu.

Ahultasuna, izenarekin Blurtooth, duela egun batzuk zehaztu zuen Bluetooth SIG industriaren erakundeak estandarraren garapena gainbegiratzen duena. Eta bluetooth munduan zehar milaka milioi gailutan aurkitzen da, smartphone-etatik IoT gailuetara "gauzen Internet".

Blurtooth-en zaurgarritasuna EPFL École Polytechnique Fédérale de Lausanne eta Suitzako Purdue Unibertsitateko ikertzaileek aurkitu zuten.

Kontsumitzaileen teknologiaren munduan, normalean, irismen laburreko konexioak elikatzeko erabiltzen da haririk gabeko entzungailuak telefonoarekin lotzea bezalako zereginetarako.

Baina Bluetooth-k ere irismen luzeko datuen transferentzia onartzen du ehunka metroko distantzietan, hackerrek Blurtooth erabiliz erasoak abiarazteko balia dezaketen tartea.

Ahultasunak ahultasuna baliatzen du Bluetooth konexioen segurtasuna egiaztatzeko moduan.

Normalean, erabiltzaileak eskuz onartu behar du konexio eskaera bere gailua beste sistema batekin lotu aurretik, baina Blurtooth-ek defentsa hau saihestea ahalbidetzen du.

Hacker edo nahikoa ezagutza duen norbait denez zaurgarritasuna ustiatzeko  sistema gaizto bat konfigura dezake Bluetooth gailu bat ordezkatzeko erabiltzaileak lehendik zuela onartuahala nola, hari gabeko entzungailuak eta erabiltzailearen makinan Bluetooth gaitutako aplikazioetarako sarbidea.

Blurtooth-en erasoak oinarrian daude izenez ezagutzen den Bluetooth segurtasun funtzio integratua CTKD. Normalean, funtzio hori konexioak zifratzen laguntzeko erabiltzen da. Baina hacker batek aurrez onartutako gailu baten autentifikazio gakoa eskuratu ahal izateko balia lezake, horixe da zilegi diren amaiera puntuak faltsutzea eta, horrela, erabiltzaileak sarrerako konexioak onartzeko beharra saihestea.

Bluetooth-a hari gabeko barruti mugatuak ahultasunak eragindako mehatxua murrizten du. Eragindako teknologiaren bi edizioek, Energia baxua eta Oinarrizko tasa, gutxi gorabehera 300 oin arteko distantzietan soilik onartzen dituzte konexioak. Baina bi Bluetooth edizio horiek kontsumitzaileentzako gailuetan zabaldutako laguntzak terminal kopuru handi bat zaurgarria izan daitekeela esan nahi du.

Industriarako Bluetooth SIGek adierazi du hori bertsioak erabiltzen dituzten gailuetako batzuk Bluetooth 4.0tik 5.0ra eragina dute. Azken 5.2 bertsioa, oraindik onartu ez dena, itxuraz ez da zaurgarria, 5.1 bertsioak gailu fabrikatzaileek Blurtooth erasoak blokeatzeko aukera ematen duten zenbait ezaugarri integratu ditu.

Segurtasun-abisuan, Bluetooth SIG Gailuen arduradunekin ahultasunaren inguruko xehetasunak "modu zabalean" komunikatzen ari dela esan du industriaren erantzuna azkartzeko. Taldeak "beharrezkoak diren adabakiak azkar integratzera bultzatzen ditu". Oraindik ez dago argi noiz egongo diren adabakiak edo zein gailu beharko dituzten.

Bluetooth SIG-ek honako adierazpena argitaratu zuen ostiralean:

BLURtooth ahultasunari buruzko argibide batzuk eman nahi ditugu. Bluetooth SIGaren hasierako adierazpen publikoak ahultasunak Bluetooth zehaztapen nagusiaren 4.0 eta 5.0 bertsioak erabiltzen dituzten gailuetan eragina izan zezakeela adierazi zuen.

Hala ere, hori 4.2 eta 5.0 bertsioak soilik adierazteko konpondu da. Era berean, BLURtooth ahultasunak ez die bertsio hauek erabiltzen dituzten gailu guztiei eragiten.

Erasora irekita egon dadin, gailu batek BR / EDR eta LE aldi berean onartzen ditu, gurutze-garraiatzeko gakoen deribazioa onartzen du eta peering eta eratorritako gakoak modu zehatz batean baliatu behar ditu. Arazo honen irtenbidea Bluetooth Oinarrizko 5.1 zehaztapenean eta berriagoetan deskribatzen da, eta Bluetooth SIGek produktu ahulak dituzten kideei gomendatu die aldaketa hori diseinu zaharragoetan sartzeko, ahal denean.

Azkenean, aipatzen da erabiltzaileek jarraipena egin dezaketela gailuak BLURtooth erasoetarako adabaki bat jaso duen ala ez firmwarea eta sistema eragilearen bertsio oharrak egiaztatuta  CVE-2020-15802.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.