Μια πρόσφατα εντοπισμένη ευπάθεια στην τεχνολογία Bluetooth, γνωστή ως CVE-2020-26558, συνιστά σημαντικό κίνδυνο ασφάλειας για συσκευές που υποστηρίζουν διάφορες προδιαγραφές πυρήνα Bluetooth.
Δείτε επίσης: Η Ultimate Ears λανσάρει το νέο ηχείο Bluetooth MINIROLL
Αυτή η ευπάθεια, γνωστή ως “Impersonation in the Passkey Entry Protocol“, αποτελεί μια σοβαρή ανησυχία για τις συσκευές που βασίζονται στο μοντέλο συσχέτισης Passkey Entry. Επηρεάζει τις ασφαλείς απλές σύζευξεις BR/EDR, τις ασφαλείς συνδέσεις και τις συνδέσεις LE, αναδεικνύοντας τη σημασία της ασφάλειας σε αυτές της διαδικασίες!
Η ευπάθεια υπάρχει στις προδιαγραφές πυρήνα Bluetooth που κυμαίνονται από την έκδοση 2.1 έως 5.4 για BR/EDR και από την έκδοση 4.2 έως 5.4 για τις ασφαλείς συνδέσεις LE.
Επιτρέπει σε έναν εισβολέα man-in-the-middle (MITM) να εκμεταλλευτεί τη διαδικασία σύζευξης ανταποκρινόμενος σε μια συσκευή εκκίνησης με ένα δημόσιο κλειδί, του οποίου η συντεταγμένη Χ ταιριάζει με αυτή της ομότιμης συσκευής.
Μέσω επεξεργασμένων αποκρίσεων, ο εισβολέας μπορεί να αναγνωρίσει τον κωδικό πρόσβασης που χρησιμοποιείται κατά τη διάρκεια της διαδικασίας σύζευξης. Αυτό μπορεί να οδηγήσει σε μια διαδικασία ελέγχου ταυτότητας που επηρεάζει τόσο τις συσκευές εκκίνησης όσο και τις συσκευές που απαντούν.
Σύμφωνα με την αναφορά Bluetooth, για να είναι επιτυχής η εκμετάλλευση της ευπάθειας, ο εισβολέας πρέπει να βρίσκεται εντός της ασύρματης εμβέλειας δύο ευάλωτων συσκευών Bluetooth που ξεκινούν τη σύζευξη ή τη σύνδεση. Η επίθεση στοχεύει συγκεκριμένα σενάρια όπου μια ανταλλαγή δυνατοτήτων BR/EDR ή LE IO έχει ως αποτέλεσμα την επιλογή της διαδικασίας σύζευξης passkeys.
Δείτε ακόμα: Το Bluetooth 6.0 κυκλοφορεί επίσημα με νέες δυνατότητες
Για να μειωθεί αυτός ο κίνδυνος, η προδιαγραφή πυρήνα Bluetooth 5.4 προτείνει ότι οι συσκευές θα πρέπει να αποτυγχάνουν κατά τη διαδικασία σύζευξης εάν η συντεταγμένη X του δημόσιου κλειδιού ενός ομότιμου ταιριάζει με αυτή της τοπικής συσκευής, εκτός αν χρησιμοποιείται ένα κλειδί εντοπισμού σφαλμάτων. Αυτός ο έλεγχος καθίσταται υποχρεωτικός στην προδιαγραφή Bluetooth Core 6.0.
Οι ειδικοί συνιστούν στους κατασκευαστές και τους προγραμματιστές να τηρούν αυτές τις οδηγίες και να ενημερώνουν τις εφαρμογές τους ώστε να συμμορφώνονται με τις πιο πρόσφατες προδιαγραφές. Η διασφάλιση ότι οι συσκευές απορρίπτουν δημόσια κλειδιά με αντίστοιχες συντεταγμένες X μπορεί να αποτρέψει πιθανές επιθέσεις MITM και να βελτιώσει τη συνολική ασφάλεια.
Η Bluetooth Special Interest Group (SIG) τονίζει τη σημασία της παρακολούθησης ενημερωμένων πρωτοκόλλων ασφαλείας για την προστασία από ευπάθειες όπως η CVE-2020-26558. Οι χρήστες ενθαρρύνονται να ενημερώνουν τακτικά τις συσκευές τους και να μαθαίνουν για τις ενημερώσεις ασφαλείας που κυκλοφορούν από τους κατασκευαστές συσκευών.
Καθώς η τεχνολογία Bluetooth εξελίσσεται, είναι κρίσιμη η διατήρηση ισχυρών μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων και τη διασφάλιση ασφαλούς ασύρματης επικοινωνίας.
Δείτε επίσης: Πώς να συνδέσετε Beats headphones σε μια συσκευή Bluetooth
Οι ευπάθειες του Bluetooth έχουν γίνει μια σημαντική ανησυχία στην εποχή της ασύρματης συνδεσιμότητας. Τα αδύναμα σημεία στο πρωτόκολλο Bluetooth μπορεί να επιτρέψουν σε κακόβουλους παράγοντες να υποκλέψουν δεδομένα, να πραγματοποιήσουν επιθέσεις στο δίκτυο ή ακόμη και να αποκτήσουν πρόσβαση σε προσωπικές συσκευές χωρίς εξουσιοδότηση. Είναι σημαντικό οι χρήστες να διατηρούν ενημερωμένες τις συσκευές τους και να εφαρμόζουν ισχυρές ρυθμίσεις ασφαλείας για να αποτρέψουν τέτοιες απειλές. Επιπλέον, καλό είναι να αποφεύγουν τη σύνδεση σε άγνωστα δίκτυα και να ενεργοποιούν το Bluetooth μόνο όταν είναι απαραίτητο.
Πηγή: cybersecuritynews
