Bluetooth is een technologie die overal aanwezig is. We gebruiken het in mobiele telefoons, koptelefoons, computers ... Ook in veel IoT apparaten. Hiermee kunt u een draadloze verbinding tot stand brengen, bestanden delen, gegevens synchroniseren... Soms kunnen er echter storingen optreden en kan informatie worden vrijgegeven. In dit artikel herhalen we a kwetsbaarheid die van invloed is op Bluetooth en brengt auto's, sloten en nog veel meer apparaten in gevaar.
Een ernstige bug heeft invloed op Bluetooth
Deze kwetsbaarheid treft specifiek: Bluetooth Low Energy (BLE) en is ontdekt door beveiligingsonderzoekers van de NCC Group. Dit protocol wordt veel gebruikt om nabijheidsverificaties uit te voeren. Bijvoorbeeld om een deur te openen. De onderzoekers geven aan dat het geen klassieke kwetsbaarheid is, aangezien het een probleem is dat ontstaat door het gebruik van BLE voor doeleinden waarvoor het niet is gemaakt.
Deze bug heeft invloed op de manier waarop veel producten worden geïmplementeerd nabijheidsverificatie dat is gebaseerd op Bluetooth Low Energy. Het apparaat wordt ontgrendeld of blijft ontgrendeld wanneer een ander BLE-apparaat in de buurt is. Ze hebben een tool gemaakt die de werking van deze technologie kan benutten. Ze zorgen ervoor dat het defensieve maatregelen zoals versleuteling of de latentielimiet kan omzeilen. Dit alles in een kwestie van 10 seconden.
Dus wat betekent deze kwetsbaarheid eigenlijk? Het maakt het mogelijk om bepaalde apparaten aan te vallen die Bluetooth Low Energy gebruiken om te verifiëren. Bijvoorbeeld voertuigen zoals Tesla of slimme sloten . Om deze aanvallen uit te voeren, is het echter noodzakelijk om over de juiste hardware en software te beschikken, wat deze beveiligingsonderzoekers hebben gemaakt om de test uit te voeren.
Maar dit probleem treft niet alleen auto's en sloten; veel andere apparaten zoals laptops, mobiele telefoons, toegangssystemen en volgapparatuur kunnen ook worden aangetast.
Houd er rekening mee dat dit beveiligingsprobleem alleen van invloed is op systemen die zijn gebaseerd op passieve detectie van een Bluetooth-apparaat. Daarom kon het niet worden benut wanneer ontgrendeling afhankelijk is van een combinatie van communicatieprotocollen.
Het oplossen van het probleem hangt af van de fabrikanten
Dit probleem met Bluetooth is niet hetzelfde als vele andere die we bij andere gelegenheden hebben gezien. Het wordt niet opgelost door simpelweg de firmware bij te werken en een patch toe te voegen. Deze fout zal afhankelijk van de fabrikanten , dus zij zijn degenen die bepaalde maatregelen moeten nemen om het te repareren.
Security onderzoekers geven aan dat een mogelijke oplossing is: om de nabijheidsfunctie uit te schakelen: wanneer de telefoon of afstandsbediening een tijdje heeft stilgestaan. Hiervoor kunnen ze de accelerometer gebruiken.
Fabrikanten moeten de gebruiker ook toestaan om een tweede pas om te authenticeren . Het kan bijvoorbeeld een druk op een knop zijn. Dit zou meer garanties bieden om aanvallen te voorkomen.
Een andere optie voor gebruikers is om de passieve ontgrendelfunctie uit te schakelen die geen expliciete goedkeuring vereist, of om Bluetooth eenvoudig uit te schakelen wanneer het niet in gebruik is.
Kortom, deze beveiligingsfout kan veel apparaten die Bluetooth-technologie gebruiken in gevaar brengen. Auto's, zeelieden en andere authenticatie-apparaten kunnen worden gecompromitteerd.
