BIAS: nuova vulnerabilità nel Bluetooth

Nuova vulnerabilità scoperta nel protocollo di connessione Bluetooth: colpito il pairing, ma non dovrebbero esserci ricadute sul contact tracing.
Nuova vulnerabilità scoperta nel protocollo di connessione Bluetooth: colpito il pairing, ma non dovrebbero esserci ricadute sul contact tracing.

Una ricerca in ambito accademico firmata dalla École Polytechnique Fédérale de Lausanne (EPFL) ha consentito la scoperta di una nuova vulnerabilità nel protocollo Bluetooth, denominato BIAS (Bluetooth Impersonation AttackS). Si tratta di una vulnerabilità di una certa pericolosità, ma occorre sgombrare il campo da un dubbio che sicuramente stuzzicherà i più: il bug non sembra poter rappresentare un pericolo per tutte quelle app di contact tracing, come ad esempio l’app Immuni, che fanno leva sul Bluetooth per la segnalazione all’utente delle possibili occasioni di contagio.

BIAS: nuova vulnerabilità Bluetooth

La vulnerabilità è relativa pairing dei dispositivi i quali, a contatto avvenuto, restano collegati anche nel tempo per consentire una semplice e automatica connessione in ogni occasione (si pensi ad esempio al modo in cui si utilizza lo smartphone sulla propria automobile, o gli auricolari con il proprio smartphone). Secondo quanto scoperto, è possibile sostituire un device terzo ad uno sul quale è già precedentemente avvenuto il pairing, potendo così agganciare un dispositivo non autorizzato a tale scopo.

La vulnerabilità sarebbe stata verificata su smartphone, tablet, laptop, cuffie e altri sistemi su vari brand, evidenziando così quanto vasta e capillare possa essere la possibilità di attacco. Un intervento correttivo nelle Bluetooth Core Specification è già stato messo a punto dal consorzio di gestione del protocollo Bluetooth (Bluetooth SIG) ed i relativi aggiornamenti software saranno poco alla volta diramati da tutti i vendor utilizzanti questo tipo di tecnologia.

Siccome in campo contact tracing non avvengono veri e propri pairing, il problema in tal senso non dovrebbe sussistere: le app tengono infatti semplicemente nota di un elenco di reti incrociate, delle quali annotano un numero casuale utile all’anonimizzazione dell’utenza altrui. La nuova vulnerabilità giunge però nel momento più sbagliato perché, proprio nel momento di maggior importanza del Bluetooth nel mondo, ecco riemergere quei sospetti striscianti sulla fragilità e sulle vulnerabilità che a più riprese sono emerse. Il contact tracing, sistema fiduciario che potrà aiutare nella lotta alla pandemia, non ha bisogno di nuovi dubbi sottotraccia: l’aggiornamento in rilascio chiuderà anche questa ulteriore falla senza, si auspica, lasciare ombre.

Fonte: Bluetooth SIG
Link copiato negli appunti

Ti potrebbe interessare

19 05 2020
Link copiato negli appunti