Bezpečnost | Hacking | Bluetooth

Nově odhalená zranitelnost v Bluetooth dovoluje hackerům vydávat se za důvěryhodné zařízení

Bezpečnostní experti našli novou chybu v komunikačním protokolu Bluetooth, která umožňuje hackerům vydávat se za důvěryhodné zařízen. Ve své zprávě varují, že se odhalený bezpečnostní nedostatek týká několika miliard zařízení, využívajících tento způsob komunikace.

Nově objevená díra v protokolu například umožňuje hackerům oklamat chytrý telefon tak, aby se připojil k jejich přístroji, napodobujícímu důvěryhodné zařízení. Dobrou zprávou je, že ke zmírnění rizika musí výrobci provést relativně malé změny.

Díra v Bluetooth

Na bezpečnostní nedostatek přišli odborníci ze Švýcarského federálního technologického institutu v Lausanne. Metodu útoku označili jako Bluetooth Impersonation Attacks (BIAS) a v kostce jde o předstírání identity jiného zařízení.

Chyba souvisí s technologií Bluetooth Classic, která podporuje dva typy bezdrátového přenosu dat mezi zařízeními: základní Basic Rate (BR) a rozšířený Enhanced Data Rate (EDR). K úspěšnému provedení je nutné, aby se zařízení útočníka a oběti nacházela ve vzájemném dosahu.

Akademici vysvětlují, že „specifikace Bluetooth obsahuje zranitelnosti, které umožňují provádět útoky předstíráním identity během navazování zabezpečeného připojení. Mezi takové zranitelnosti patří absence povinného vzájemného ověřování, příliš liberální přepínání rolí a downgrade ověřovací procedury.“

Jednoduchý útok

V úvodní fázi musí útočník odposlechnout komunikaci mezi zařízeními – například mezi telefonem a bezdrátovými sluchátky – a zjistit jejich adresy. Následně se hacker připojí a vydává se za jedno ze zařízení. Chyba mu umožní číst informace z cílového zařízení nebo do něj přenášet data.

Úspěchu je dosaženo napodobením důvěryhodného zařízení a předstíráním, že podporuje pouze jednostranné ověření, což je nejnižší úroveň zabezpečení komunikačního protokolu Bluetooth. K provedení stačí levná technika například v podobě počítače Raspberry Pi.

Experti ve svém příspěvku uvádějí, že tento postup ověřili na třiceti zařízeních vybavených 28 různými Bluetooth čipy. Na seznamu se objevuje několik modelů smartphonů od společností Apple, Nokia, Samsung a Google, či notebooky značek HP a Lenovo.

S ohledem na tato zjištění zavedla organizace Bluetooth SIG, která dohlíží na vývoj technologie Bluetooth, řadu změn v základní specifikaci protokolu. Jejich cílem je „vyjasnit, kdy je povoleno přepínání rolí, vyžadování vzájemného ověřování starším typem autentizace a doporučení kontrolovat typ šifrování, aby nedošlo ke snížení kvality zabezpečeného připojení.“

Váš názor Další článek: Jak na dálku přistupovat k datům na NASu: Hlavně bezpečně! [seriál]

Témata článku: Google, Apple, Bezpečnost, Samsung, Lenovo, Raspberry Pi, Hacking, Bluetooth, Nokia, Švýcarsko, Odposlech, Protokol, Předstírání, Lausanne, Enhanced Data Rate, Přepínání, Zabezpečené připojení, Bezpečnostní nedostatek, BIAS, Bluetooth SIG, EDR, Hacker, Basic Rate, Ověřování, Zranitelnost


Určitě si přečtěte

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

** Rozšířené realitě i po letech chybí praktické využití ** Selhaly mobilní aplikace i AR brýle ** Floridské studio to proto zkusí přes bizarní erotiku Hybri

Jakub Čížek | 16

12 netradičních map České republiky, které jste ještě nikdy neviděli

12 netradičních map České republiky, které jste ještě nikdy neviděli

** Tušíte, kolik je u nás hřbitovů a jak jsou velké? ** Dokážete si představit mapu českých řek a potoků? ** Udělali jsme to všechno za vás nad daty ČÚZK

Jakub Čížek | 10

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

Zkusili jsme Ryzen 7 4800HS v notebooku Asus: drtí Intel výkonem a umí být potichu

** Nové osmijádro AMD pro herní notebooky překvapuje výkonem ** V rámci notebooku ROG Zephyrus G15 umí být tiché i výkonné** Rozhodnou hlavně prodávané konfigurace s lepší grafikou

Tomáš Holčík | 57

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

** 22. května 1990 uvedl Microsoft Windows 3.0 ** Systém z Microsoftu definitivně udělal lídra na desktopu ** Tehdejší Windows byly vlastně grafickou nadstavbou nad MS-DOS

Jakub Čížek | 74

Jak nahradit webkameru: jde to telefonem, zadarmo a s lepším obrazem

Jak nahradit webkameru: jde to telefonem, zadarmo a s lepším obrazem

** Koronavirus donutil mnohé zaměstnance pracovat z domova ** V souvislosti s tím vzrostla poptávka po webových kamerách ** Webkameru ale nemusíte kupovat – stačí mobil a aplikace!

Karel Kilián | 13


Aktuální číslo časopisu Computer

Megatest 24 PC zdrojů

Jak využít umělou inteligenci

10 špičkových sluchátek s ANC

Playstation 5 vs Xbox Series X