Explorar permite que invasores invadam dispositivos Bluetooth

Postado em 2021-07-15
News
 Explorar permite que invasores invadam dispositivos Bluetooth

2021-07-15

Pesquisadores de segurança cibernética da École Polytechnique Fédérale de Lausanne (EPFL) e da Purdue University identificaram vulnerabilidades de segurança importantes em certas implementações de Bluetooth que deixam dispositivos Bluetooth criticamente vulneráveis ​​a vários ataques diferentes. Chamada de BLURtooth , a vulnerabilidade (CVE-2020-15802) afeta o componente Cross-Transport Key Derivation (CTKD) em Bluetooth 4.0 para Bluetooth 5.0, permitindo que invasores obtenham acesso não autorizado a um dispositivo comprometido.

De acordo com o CERT Coordination Center da Carnegie Mellon University, a falha deixa os dispositivos Bluetooth vulneráveis ​​a várias ameaças de hacking em potencial, incluindo ataques Man in the Middle (MiTM). Embora o problema seja apenas acontece quando esses dispositivos realizam emparelhamentos sem autenticação ou têm uma chave fraca, o bug também pode permitir que os invasores reduzam a força da criptografia substituindo uma chave autenticada por uma chave não autenticada.

Os pesquisadores dizem que os dispositivos Bluetooth de modo duplo que oferecem suporte a Bluetooth BR / EDR e LE usando Derivação de chave de transporte cruzado (CTKD) para emparelhamento estão em risco contra a vulnerabilidade de substituição de chave, permitindo que invasores obtenham acesso a perfis ou serviços irrestritos em dispositivos comprometidos. Para que esse ataque seja bem-sucedido, um dispositivo de ataque precisaria estar dentro do alcance sem fio de um dispositivo Bluetooth vulnerável, compatível com os dois padrões mencionados.

O Bluetooth SIG tomou conhecimento do problema e emitiu uma declaração sobre como mitigar a ameaça. A organização está recomendando que “implementações potencialmente vulneráveis ​​introduzam as restrições na derivação de chave de transporte cruzado exigidas nas versões 5.1 e posteriores da Especificação de núcleo do Bluetooth” OA organização também incentivou os usuários de Bluetooth a garantir que instalem as atualizações mais recentes recomendadas de seus fabricantes de dispositivos.