Home News “Bluetooth: due falle di sicurezza mettono a rischio miliardi di dispositivi”

“Bluetooth: due falle di sicurezza mettono a rischio miliardi di dispositivi”

30 Novembre 2023 Paola Yan

"Bluetooth: due falle di sicurezza mettono a rischio miliardi di dispositivi" - avvisatore.it

Due vulnerabilità di sicurezza scoperte nel Bluetooth potrebbero mettere a rischio i dispositivi

Un team di ricercatori di Eurecom ha individuato due importanti vulnerabilità di sicurezza nel Bluetooth, che potrebbero consentire a un attaccante di dirottare le connessioni di tutti i dispositivi che utilizzano questa tecnologia. Gli attacchi, chiamati BLUFFS (Bluetooth Forward and Future Secrecy), sono stati sviluppati e dimostrati da Daniele Antonioli, professore associato di sicurezza applicata e privacy dei sistemi.

Gli attacchi BLUFFS sfruttano due vulnerabilità architetturali legate alla creazione di sessioni Bluetooth. Il primo problema riguarda la capacità del Bluetooth di permettere alla Centrale di definire tutti i valori per la diversificazione delle chiavi di sessione, aprendo la possibilità a un utente malintenzionato di guidare unilateralmente la diversificazione delle chiavi assumendo il ruolo della Centrale. Il secondo problema riguarda l’assenza di utilizzo dei “nonce” durante la diversificazione delle chiavi, consentendo il riutilizzo dei numeri nelle sessioni passate, presenti e future senza violare gli standard.

Gli attacchi BLUFFS potrebbero causare gravi danni, come il furto di dati sensibili, l’installazione di malware o ransomware sui dispositivi e il controllo remoto dei dispositivi. Pertanto, è fondamentale che i produttori di dispositivi apportino modifiche alla modalità in cui implementano la sicurezza Bluetooth.

Soluzioni proposte per proteggere i dispositivi Bluetooth

Daniele Antonioli ha ideato una funzione avanzata di derivazione della chiave Bluetooth che previene tutti e sei gli attacchi e le relative cause. Secondo le raccomandazioni del Bluetooth SIG, le implementazioni dovrebbero respingere connessioni con chiavi di forza inferiore a sette ottetti. È anche consigliato l’utilizzo della “Modalità di sicurezza 4 livello 4”, che garantisce un elevato livello di crittografia, insieme all’operatività in modalità “Solo connessioni sicure” durante la fase di accoppiamento.

Al momento, gli utenti non hanno alcuna opzione diretta per risolvere queste vulnerabilità. È quindi necessario che i produttori di dispositivi apportino modifiche alla modalità in cui implementano la sicurezza Bluetooth per proteggere gli utenti da potenziali attacchi.

Conclusioni

Le vulnerabilità di sicurezza nel Bluetooth individuate dai ricercatori di Eurecom mettono a rischio tutti i dispositivi che utilizzano questa tecnologia. Gli attacchi BLUFFS sfruttano due vulnerabilità architetturali legate alla creazione di sessioni Bluetooth, consentendo a un attaccante di dirottare le connessioni. È fondamentale che i produttori di dispositivi apportino modifiche alla modalità in cui implementano la sicurezza Bluetooth per proteggere gli utenti da potenziali attacchi. Nel frattempo, le soluzioni proposte da Daniele Antonioli, come una funzione avanzata di derivazione della chiave Bluetooth e l’utilizzo di connessioni con chiavi di forza superiore a sette ottetti, possono contribuire a mitigare i rischi.