È stata scoperta una vulnerabilità nella tecnologia Bluetooth che potrebbe essere presente in miliardi di dispositivi diversi

Le app che cercano di rubare dati ai possessori di smartphone non sono una novità. I proprietari di dispositivi Android e iOS sono costantemente esposti ad app che possono causare gravi danni. La situazione è simile con i computer e molti altri dispositivi.

Molto spesso, vari parassiti possono danneggiare determinati dispositivi o i sistemi operativi su di essi, ma le ultime ricerche degli scienziati hanno posto fine a un grave problema che colpisce quasi tutti i dispositivi elettronici abilitati Bluetooth. Ciò potrebbe influenzare miliardi di dispositivi e i loro proprietari.

I ricercatori della Graduate School of Engineering dell'EURECOM hanno sviluppato sei metodi di attacco per la tecnologia di comunicazione Bluetooth che possono essere utilizzati per intercettare e decrittografare i dati, mettendo a rischio le comunicazioni passate e future. Noti collettivamente come BLUFFS, questi attacchi hanno portato alla scoperta di due vulnerabilità precedentemente sconosciute nello standard Bluetooth.

Queste vulnerabilità non sono legate alla configurazione hardware o software, ma sono radicate nell'architettura dello standard Bluetooth a livello centrale, numerate CVE-2023-24023, e sono attive nelle versioni da 4.2 a 5.4. A causa dell'uso diffuso del protocollo e della varietà di attacchi contro le sue versioni, gli attacchi BLUFFS possono essere utilizzati su miliardi di dispositivi, inclusi smartphone e laptop.

Molti smartphone lanciati quest'anno non utilizzano una versione successiva al Bluetooth 5.3. Ad esempio, l'iPhone 15 Pro Max o il Samsung Galaxy S23 Ultra hanno esattamente 5.3 e molti dispositivi di fascia bassa funzionano anche con una versione precedente del Bluetooth. Naturalmente questi dispositivi non includono solo i telefoni, ma anche molti orologi intelligenti, cuffie o auricolari wireless e molti altri prodotti.

Si dice che gli attacchi BLUFFS mirino a compromettere la sicurezza delle comunicazioni Bluetooth, compromettendo così la privacy delle comunicazioni passate e future dei dispositivi. Il risultato si ottiene sfruttando quattro vulnerabilità per ottenere la chiave di sessione. Ciò consente a un hacker di effettuare attacchi decrittografando le comunicazioni passate e manipolando quelle future.

Vale la pena notare che i ricercatori che hanno scoperto questa vulnerabilità hanno testato una serie di dispositivi elettronici che funzionano con le versioni Bluetooth dalla 4.1 alla 5.2. I risultati dei test sono stati terribili: tutti i dispositivi sono stati compromessi da almeno tre delle sei vulnerabilità. I ricercatori hanno proposto metodi di sicurezza del protocollo wireless che possono essere implementati mantenendo la compatibilità con i dispositivi vulnerabili già rilasciati.

Il Bluetooth Special Interest Group, responsabile di questo standard di comunicazione, ha già risposto a questa situazione. Bluetooth SIG ha rilasciato una dichiarazione in cui invita i produttori a migliorare la sicurezza e implementare impostazioni di crittografia più forti per prevenire lo sfruttamento della vulnerabilità.