Podczas USENIX Security Symposium grupa badaczy ujawniła lukę w zabezpieczeniach Bluetooth, która teoretycznie może narazić miliony urządzeń na włamanie - możliwa jest ingerencja osób trzecich w momencie, gdy dwa urządzenia próbują się połączyć.
Dzięki temu niepowołane osoby mogą przesyłać dane z dowolnych podłączonych urządzeń - od muzyki przesyłanej do słuchawek BT, po słowa wpisywane na klawiaturze - o ile akcesoria te znajdą się w zasięgu atakującego.
Luka określona została jako KNOB- Key Negotiation of Bluetooth - i występuje, gdy dwa urządzenia ustalają bezpieczne połączenie i wymieniają się hasłami. Nie chodzi tu o złamanie zabezpieczeń łączących się urządzeń, ale ingerencję w sam proces połączenia. Luka polega na tym, że wymuszone zostaje jak najsłabsze i jak najkrótsze hasło uwierzytelniające połączenie, które musi jeszcze zostać złamane metodą brute force. W praktyce włamywacz nie dość, że musiałby być w zasięgu obu urządzeń w momencie ich łączenia, to jeszcze w czasie nawiązywania połączenia musiałby błyskawicznie złamać hasło. Więc raczej, choć teoretycznie możliwe, w praktyce jest niemalże niewykonalne. Co więcej, luka nie dotyczy technologii Bluetooth LE (czyli w praktyce większości urządzeń typu wearbles), a większość producentów i tak stosuje wystarczające zabezpieczenia, wymagając choćby minimalnej długości hasła między parowanymi urządzeniami.
Bluetooth SIG, międzynarodowy organ odpowiedzialny za standardy połączeń Bluetooth, wydał ostrzeżenie dotyczące luki KNOB i opublikował już stosowną poprawkę. Na razie nic nie wskazuje na to, żeby ktoś wykorzystał tę lukę do włamania się na obce urządzenie (jak wspomnieliśmy, jest to praktycznie niewykonalne), ale i tak zawsze warto dbać o jak najszybsze aktualizacje systemu, sterowników i łatek bezpieczeństwa.
Na podstawie Digital Trends