BLURtooth: újabb sérülékenység a Bluetooth szabványban

Mostanában rájár a rúd a Bluetooth kommunikációs protokollra. Tavaly nyáron két sebezhetőséget fedeztek fel a szabványban, és idén májusban is fény derült egy problémára. Legutóbb pedig mindössze pár napja röppent fel a hír, hogy két, biztonsági szakértőkből álló csoport egymástól függetlenül tárt fel egy új biztonsági rést.

A Bluetooth hivatalos felügyelő szervezete, a Bluetooth Special Interest Group, rövid közleményben erősítette meg a BLURtooth névre keresztelt hiba meglétét. (Az érdeklődők az angol eredetit itt olvashatják.)

A svájci École Polytechnique Fédérale de Lausanne és az amerikai Purdue University szakemberei által talált sebezhetőség a Bluetooth 4.0 és 5 közötti verzióit érinti, minden olyan készülékben, amely támogatja a BR (Basic Rate), EDR (Enhanced Data Rate), vagy LE (Low Energy) típusú kommunikációt. A probléma a protokoll titkosítási rétegéből ered, és például közbeékelődéses támadást (man-in-the-middle attack) is lehetővé tesz.

Fontos kiemelni, hogy a támadás sikerességéhez a támadó eszköznek hatótávolságon belül kell lennie, továbbá a sérülékeny készüléknek engednie kell a hitelesítés vagy a felhasználó beleegyezése nélküli párosítást.

Éppen ezért az iOS-készülékek esetén a veszélyt részben csökkenti, hogy az iOS az alkalmazásoktól kikényszeríti a felhasználótól való engedélykérést, mielőtt az adott app Bluetooth kapcsolatokat kezelhetne.

Az iOS sandboxing technológiája (az appok “homokozóba helyezése”, azaz egymástól való elszigetelése) szintén limitálhatja a kockázatot az egyes alkalmazásokra – bár ez felhasználási területtől függően korántsem biztos, hogy bármit is segít.

Fontos tehát, hogy felhasználóként fegyelmezettek legyünk, és mindig gondoljuk meg, hogy milyen alkalmazásnak adunk jogosultságot a Bluetooth-hozzáféréshez, és hogy vajon valóban van-e erre szüksége. Sajnos a Bluetooth specifikációjában lévő hiba megléte ellen ennél többet jelenleg nem tudunk tenni – a hibák kijavításához meg kell várnunk a megfelelő szoftverfrissítéseket, így mint mindig, most is javasolt az iOS és alkalmazásaink naprakészen tartása.

Ezek még érdekelhetnek:


A Szifon.com-on megváltozott a hozzászólás rendszer, ezentúl az alábbi gombra kattintva tudsz véleményt alkotni. Bővebben itt olvashatsz erről.

Kérdésed lenne? Megosztanál valamit a többi olvasóval? Használd az új közösségi portálunkat!