Questa falla del protocollo Bluetooth interessa miliardi di dispositivi


Ad oggi sono miliardi i dispositivi fra smartphone, smartwatch, smartband, smart speaker e altri dispositivi IoT, che sfruttano il protocollo Bluetooth per comunicare fra di loro. In queste settimane un team di ricerca ha individuato una importate falla di sicurezza in grado di intaccare i dispositivi muniti del protocollo Bluetooth Low Energy (BLE).

BLESA attacca il Bluetooth Low Energy

Etichettata come BLESA (Bluetooth Low Energy Spoofing Attack), la vulnerabilità va a colpire un particolare processo presente in ogni dispositivo munito del protocollo BLE: la riconessione. Il protocollo Bluetooth Low Energy viene largamente utilizzato in quanto dispone di particolari tecnologie in grado di ridurre i consumi energetici senza però intaccare la distanza di collegamento fra i dispositivi.

Da diverso tempo sotto la lente d’ingrandimento di specialisti di sicurezza per valutarne la robustezza del protocollo dal punto di vista della sicurezza, sette accademici della Purdue University hanno scovato la falla durante la fase in cui due dispositivi BLE sono autenticati e tentando di connettersi.

Questa fase avviene solitamente quando uno dei due dispositivi viene spostato dal raggio di azione standard del protocollo BLE e, normalmente, durante la fase di riconnessione entrambi vanno incontro al check di sicurezza della chiave crittografica per tornare nuovamente a scambiarsi informazioni.

Alcune operazioni durante la fase di riconnessione lascia i dispositivi Bluetooth LE vulnerabili a BLESA, ed in questo frangente un potenziale malintenzionato sarebbe in grado di bypassare le fasi di verifica inviando dati falsificati portando così gli utenti e i sistemi automatizzati ad assumere decisioni sbagliate (e poco sicure).

I ricercatori hanno scoperto che i protocolli BlueZ (presente nei dispositivi IoT su base Linux), Fluoride (Android) e iOS BLE sono vulnerabili a BLESA, mentre il protocollo integrato in Windows sembra non esserlo. I ricercatori hanno dichiarato (qui il link al paper in formato PDF) che Apple ha corretto la vulnerabilità lo scorso giugno 2020 mentre continua ad essere presente invece su Android.

In attesa di patch di sicurezza per i sistemi vulnerabili, si consiglia di prestare particolare attenzione durante la fase di riconnessione con dispositivi Bluetooth in ambienti esterni.



Vedi Post Originale: https://www.tuttotech.net/news/bluetooth-blesa-vulnerabilita-sicurezza.html


0 Comments

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *