Barcellona – Rinomato nella grande industria per le infinite possibilità di applicazione, il protocollo Bluetooth è ancora una volta messo sotto accusa: dopo l’ annuncio di una nuova vulnerabilità da parte di alcuni programmatori israeliani, un team di esperti appartenenti alla crew catalana di Infohacking ha reso pubblicamente disponibile un programma considerato capace di stroncare qualsiasi connessione tra dispositivi Bluetooth.
Nessun telefono di ultima generazione sarebbe immune: dai PDA fino ai laptop, ogni tipo di piconet basata su BlueTooth può essere immediatamente bloccata con una tempesta di pacchetti . La vulnerabilità è stata messa a nudo tramite un semplice Denial of Service (DoS). Una volta sorpassato un numero abbastanza limitato di connessioni, lo stack di Bluetooth va in overflow chiudendo qualsiasi comunicazione. Su alcuni palmari iPAQ, l’attacco causerebbe addirittura danni irreversibili al sistema.
Stando ai risultati dei test pubblicati dagli scopritori del problema, l’attacco DoS in questione non risparmia neanche i cellulari con Bluetooth attivo in modalità nascosta : quasi tutti i telefoni Nokia, smartphone inclusi, sarebbero vulnerabili anche se occultati. Armato di computer portatile, un malintenzionato – afferma la crew – potrebbe inchiodare le comunicazioni Bluetooth all’interno di un raggio di 100 metri . Hugo Vázquez Caramés, mente di Infohacking, ha dichiarato di aver già avvertito i responsabili di Nokia a riguardo dell’insicurezza. Uno specialista finlandese avrebbe ammesso che “il problema dipende direttamente dal design dell’hardware Bluetooth”, di cui l’azienda finlandese ha semplicemente “seguito le specifiche”. Il problema, dunque, potrebbe riguardare un numero davvero elevato di applicazioni della celebre tecnologia wireless.
La possibilità che un DoS blocchi l’utilizzo di un cellulare desta naturalmente un certo grado di allarme. Ma non si tratta di una questione del tutto nuova: il problema sarebbe noto già da tempo agli ingegneri impegnati nella ricerca sulle telecomunicazioni. Tuttavia, attacchi DoS basati sulla vulnerabilità sono stati finora condotti soltanto in laboratorio .
Ora però il rischio aumenta: lo scriptino per eseguire il DoS è stato pubblicato in Rete da Transient ISS . Il tool, incluso in una suite di strumenti per testare la sicurezza dei dispositivi mobili, è destinato a far prendere coscienza dell’ insicurezza intrinseca del sistema Bluetooth. Una mossa azzardata: il responsabile di Transient ammette di “essere un po’ nervoso”, nonostante la falla sia “talmente ovvia” che chiunque, in futuro, se ne sarebbe certamente accorto.
Tommaso Lombardi
Ti potrebbe interessare
15 giu 2005