Μία νέα επίθεση σε συσκευές με δυνατότητα Bluetooth, η οποία πραγματοποιείται τις τελευταίες μέρες έχει ανησυχήσει τους οργανισμούς που ασχολούνται με την εν λόγω τεχνολογία.
Πρόκειται για μία ευπάθεια σε ένα στοιχείο του προτύπου Bluetooth που ονομάζεται Cross-Transport Key Derivation (CTKD), η οποία ονομάστηκε BLURtooth.
Αυτό το στοιχείο χρησιμοποιείται για τη ρύθμιση κλειδιών ελέγχου ταυτότητας κατά τη σύζευξη δύο συσκευών με δυνατότητα Bluetooth.
Ο ρόλος του CTKD είναι να είναι τα κλειδιά να αφήνουν τις συνδεδεμένες συσκευές να αποφασίσουν ποια έκδοση του προτύπου Bluetooth θέλουν να χρησιμοποιήσουν. Η κύρια χρήση του είναι η “διπλή λειτουργία” Bluetooth.
Αλλά σύμφωνα με τις ειδοποιήσεις ασφαλείας που δημοσιεύθηκαν σήμερα από το Bluetooth Special Interest Group (SIG) και το CERT Coordination Center στο Πανεπιστήμιο Carnegie Mellon (CERT / CC), ένας εισβολέας μπορεί να χειριστεί το στοιχείο CTKD για να αντικαταστήσει τα κλειδιά ελέγχου ταυτότητας Bluetooth σε μια συσκευή και να αποκτήσει πρόσβαση σε άλλες υπηρεσίες / εφαρμογές με δυνατότητα Bluetooth στην ίδια συσκευή.
Σε ορισμένες εκδόσεις της επίθεσης BLURtooth, τα κλειδιά ελέγχου ταυτότητας μπορούν να αντικατασταθούν πλήρως, ενώ άλλα κλειδιά ελέγχου ταυτότητας μπορούν να υποβαθμιστούν για χρήση αδύναμης κρυπτογράφησης.
Όλες οι συσκευές που χρησιμοποιούν το πρότυπο Bluetooth 4.0 έως 5.0 είναι ευάλωτες. Το πρότυπο Bluetooth 5.1 διαθέτει δυνατότητες που μπορούν να ενεργοποιηθούν και να αποτρέψουν τις επιθέσεις BLURtooth.
Προς το παρόν δεν υπάρχουν ενημερώσεις ασφαλείας που να επιδιορθώνουν την ευπάθεια. Ο μόνος τρόπος προστασίας από τις επιθέσεις BLURtooth είναι ο έλεγχος του περιβάλλοντος στο οποίο είναι συνδεδεμένες οι συσκευές Bluetooth, προκειμένου να αποφευχθούν οι επιθέσεις.
Ωστόσο, αναμένεται να είναι διαθέσιμες σύντομα. Τότε πιθανότατα θα ενσωματωθούν ως ενημερώσεις firmware ή λειτουργικού συστήματος για συσκευές με δυνατότητα Bluetooth. Σύμφωνα με το Bluetooth SIG, η επίθεση BLURtooth ανακαλύφθηκε ανεξάρτητα από δύο ομάδες ακαδημαϊκών από το École Polytechnique Fédérale de Lausanne (EPFL) και το Πανεπιστήμιο Purdue.
