Existe um novo ataque - BLUFFS - que põe em risco as comunicações Bluetooth, afectando as implementações da versão 4.2 à 5.4.
Este BLUFFS, criado por investigadores da Eurecom, agrupa seis novos ataques que exploram vulnerabilidades no standard Bluetooth. Ao tirar partido de falhas base do próprio protocolo, significa que o ataque pode ser efectuado contra praticamente todos os dispositivos Bluetooth no mercado. Embora nem todos os dispositivos sejam vulneráveis a todos os ataques, há grandes probabilidades que sejam vulneráveis a alguns deles.
Os ataques têm que ser realizados estando ao alcance de dois dispositivos Bluetooth que estejam a comunicar, com o atacante a fazer-se passar por um dos dispositivos e a enganar o outro de modo a que reduza o nível de segurança para o mínimo, possibilitando um ataque brute-force para obter a chave de codificação e obter acesso total às comunicações entre ambos.
Estes ataques afectam praticamente todos os dispositivos Bluetooth no mercado, já que abrangem do Bluetooth 4.2 (lançado em Dezembro 2014) até ao Bluetooth 5.4 (lançado em Fevereiro de 2023), incluindo smartphones, portáteis, earphones, headphones, smartwatches, e tudo o que utilize Bluetooth.
Em testes efectuados contra diversos equipamentos, todos eles foram vulneráveis a pelo menos três dos ataques do BLUFFS, com alguns a serem vulneráveis a todos os seis ataques.
O Bluetooth SIG (grupo responsável pelo Bluetooth) recomenda que os fabricantes forcem a utilização do modo de segurança "Security Mode 4 Level 4" como mínimo, rejeitem tentativas de ligação com chaves de segurança reduzida, e que usem o modo "Secure Connections Only" durante o emparelhamento. Mas, obviamente, isso é algo que não irá mudar o cenário de risco para todos os dispositivos Bluetooth que chegaram ao mercado nos últimos anos.
2023/11/29
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)