BLURtooth: la vulnerabilità colpisce Bluetooth 4 e 5, nessuna patch
Topic
Approfondimenti
Trending
tutti

BLURtooth, una nuova vulnerabilità per Bluetooth

Documentata la vulnerabilità BLURtooth che interessa tutti i dispositivi con supporto alla tecnologia Bluetooth nelle versioni 4 e 5.
BLURtooth, una nuova vulnerabilità per Bluetooth
Informatica Sistemi operativi
Documentata la vulnerabilità BLURtooth che interessa tutti i dispositivi con supporto alla tecnologia Bluetooth nelle versioni 4 e 5.
Pixabay

Nuova vulnerabilità per Bluetooth: battezzata BLURtooth, è resa nota oggi dall’organismo (Bluetooth SIG) che definisce lo standard con un bollettino distribuito in collaborazione con CERT/CC (CERT Coordination Center at the Carnegie Mellon University). A scoprirla i team di ricercatori di EPFL (École Polytechnique Fédérale de Lausanne) e Purdue University. Prende di mira la componente Cross-Transport Key Derivation impiegata per gestire le chiavi di autenticazione generate quando si sincronizzano due dispositivi compatibili con il protocollo sia con BLE (Bluetooth Low Energy) sia con BR (Basic Rate) o EDR (Enhanced Data Rate).

Bluetooth, nuovo problema di sicurezza: BLURtooth

Più nel dettaglio, il ruolo di CTKD è definire quale versione dello standard utilizzare in fase di collegamento. Viene sfruttata principalmente per la feature Dual Mode. Interessati dalla falla catalogata come CVE-2020-15802 tutti i device con supporto a BT 4 e BT 5. Al sicuro invece la più recente iterazione BT 5.1 grazie ad alcuni accorgimenti che si fanno scattare un campanello d’allarme in caso di attacco vanificandone l’efficacia.

Un malintenzionato in possesso delle competenze tecniche necessarie la può manipolare sovrascrivendo le chiavi di autenticazioni permettendo in questo modo la connessione wireless da un altro dispositivo e allungando così potenzialmente le mani su applicazioni, servizi o dati.

Bluetooth SIG ha reso noto di aver iniziato ad avvisare i produttori di dispositivi e componenti hardware in modo che questi possano confezionare e rilasciare una patch correttiva nel minor tempo possibile, mettendo così al sicuro gli utenti, le loro informazioni e i loro account. Non sarà ad ogni modo cosa immediata: una volta disponibili i fix saranno distribuiti mediante aggiornamenti firmware o inclusi all’interno degli update destinati ai sistemi operativi.

Non è l’unico problema di sicurezza che affligge lo standard emersa nell’ultimo periodo: dall’inizio dell’anno abbiamo scritto anche su queste pagine di SweynTooth, BlueFrag e BIAS (Bluetooth Impersonation AttackS).

Fonte: Bluetooth SIG

Pubblicato il 10 set 2020

Link copiato negli appunti

Ti potrebbe interessare

Vulnerabilità Bluetooth: si salva solo Android

Vulnerabilità Bluetooth: si salva solo Android
SweynTooth, le vulnerabilità di Bluetooth LE

SweynTooth, le vulnerabilità di Bluetooth LE
BIAS: nuova vulnerabilità nel Bluetooth

BIAS: nuova vulnerabilità nel Bluetooth
WhatsApp non disattiverà la crittografia E2E in India

WhatsApp non disattiverà la crittografia E2E in India
Vulnerabilità Bluetooth: si salva solo Android

Vulnerabilità Bluetooth: si salva solo Android
SweynTooth, le vulnerabilità di Bluetooth LE

SweynTooth, le vulnerabilità di Bluetooth LE
BIAS: nuova vulnerabilità nel Bluetooth

BIAS: nuova vulnerabilità nel Bluetooth
WhatsApp non disattiverà la crittografia E2E in India

WhatsApp non disattiverà la crittografia E2E in India
Cristiano Ghidotti
Pubblicato il
10 set 2020
Link copiato negli appunti