Az École Polytechnique Fédérale de Lausanne (EPFL) biztonsági kutatói fedezték fel azt a Bluetooth biztonsági rést, amelyet kihasználva a támadók távoli hozzáféréssel megtéveszthetik a már korábban párosított eszközöket. A titkosított kapcsolat létrehozásához, egy link kulcs segítségével párosítani kell két Bluetooth-eszközt, de a támadók képesek megszemélyesíteni (annak nevében "kommunikálni") egy már korábban párosított eszközt, még a link kulcs ismerete nélkül is, amely folyamatot BIAS-nak neveztek el - írja a magyar Nemzeti Kibervédelmi Intézet biztonsági összefoglalójában.

A BIAS név azért is találó, mert a Bluetooth Impersonation AttackS rövidítés mellett angolul elfogultság és eltéríteni jelentésekkel is bír. Márpedig itt pontosan ez történik: a támadó képes teljes hozzáférést szerezni a céleszközön úgy, hogy a sérülékeny eszközhöz (amely korábban kapcsolódott egy másikhoz) a vezeték nélküli hatótávolságon belül meghamisíthatja a korábban párosított eszköz címét és sikeresen befejezi a hitelesítési eljárást. Az ilyen támadásokhoz ugyan közel kell lennie a támadónak, de ha ez adott, akkor a támadó próbálgatáson alapuló (brute force) technikával képes lehet visszafejteni a titkosító kulcsot, amivel a teljes kommunikáció is visszafejthetővé válik a két eszköz között.

Kapcsolódó

A Bluetooth Special Interest Group (SIG) azt javasolja a felhasználóknak, hogy telepítsék az eszközök és az operációs rendszer gyártóinak legújabb frissítéseit.

Az új fajta sebezhetőség különösen a mobileszközöknél - okostelefonok, tabletek, laptopok - lehet igazán veszélyes, mert ilyenkor akár egy vezetéknélküli módon kapcsolt billentyűzet, vagy egyéb adatbeviteli periféria teljes adatforgalma megszerezhető. Akár jelszavakat is szerezhetnek a felhasználók különböző fiókjaihoz.

Hogy a bluetoothos kapcsolatok is sebezhetők annyiban nem újdonság, hogy már Edward Snowden, az amerikai Nemzetbiztonsági Ügynökség (NSA) egykori alkalmazottja is bemutatta, hogy az ilyen eszközök feltörésével is megfigyelték az embereket, azonban akkor eleve beépített kiskapukat használtak ki az amerikai titkosszolgák. A mostani viszont egy nem tervezett hiba.