Scoperta la vulnerabilità della sicurezza Bluetooth, ma la correzione di Apple è già disponibile


Una vulnerabilità Bluetooth recentemente scoperta che è stata pubblicata questa settimana da Intel ha il potenziale per consentire a un hacker nelle vicinanze di ottenere l’accesso non autorizzato a un dispositivo, intercettando il traffico e inviando messaggi di accoppiamento contraffatti tra due dispositivi Bluetooth vulnerabili.

La vulnerabilità interessa le implementazioni Bluetooth e i driver del sistema operativo di Apple, Broadcom, Intel e Qualcomm.

Dalla spiegazione di Intel:
Una vulnerabilità nell’accoppiamento Bluetooth (R) consente potenzialmente a un utente malintenzionato con prossimità fisica (entro 30 metri) di ottenere l’accesso non autorizzato tramite una rete adiacente, intercettare il traffico e inviare messaggi di accoppiamento contraffatti tra due dispositivi Bluetooth (R) vulnerabili. Ciò potrebbe comportare la divulgazione di informazioni, l’elevazione del privilegio e / o il rifiuto di prestare servizio.
Come spiega BleepingComputer , i dispositivi con funzionalità Bluetooth non convalidano sufficientemente i parametri di crittografia nelle connessioni Bluetooth “sicure”, portando a un accoppiamento debole che può essere sfruttato da un utente malintenzionato per ottenere dati inviati tra due dispositivi.

Secondo il Bluetooth Special Interest Group (SIG) non è probabile che molti utenti siano stati interessati dalla vulnerabilità.
Affinché un attacco abbia successo, un dispositivo di attacco deve trovarsi all’interno della gamma wireless di due dispositivi Bluetooth vulnerabili sottoposti a una procedura di accoppiamento. Il dispositivo in attacco dovrebbe intercettare lo scambio di chiavi pubbliche bloccando ciascuna trasmissione, inviando un riconoscimento al dispositivo di invio e quindi iniettando il pacchetto dannoso al dispositivo ricevente entro una finestra temporale ristretta. Se solo un dispositivo aveva la vulnerabilità, l’attacco non avrebbe avuto successo.
Sia Bluetooth sia Bluetooth LE sono interessati. Apple ha già introdotto una correzione per il bug sui suoi dispositivi (in macOS High Sierra 10.13.5 / 10.13.6, iOS 11.4, tvOS 11.4 e watchOS 4.3.1), quindi gli utenti iOS e Mac non devono preoccuparsi. Intel, Broadcom e Qualcomm hanno anche introdotto delle correzioni, mentre Microsoft afferma che i suoi dispositivi non sono interessati.

Tag: Bluetooth

Lascia un commento