2min Security

‘Bluetooth-kwetsbaarheid treft miljarden devices’

‘Bluetooth-kwetsbaarheid treft miljarden devices’

Onderzoekers hebben een nieuwe kwetsbaarheid in de Bluetooth-standaard ontdekt, waardoor mogelijk miljarden gevaar lopen. De nieuwe kwetsbaarheid heeft de naam Bluetooth Low Energy Spoofing Attack, kortweg BLESA.

De kwetsbaarheid brengt een verbindproces van twee Bluetooth-apparaten die eerder zijn gekoppeld in gevaar. Bij dit proces controleren ze elkaars cryptografische sleutels om opnieuw verbinding te maken. Volgens het onderzoek van de Purdue University is de verificatie van de sleutels mogelijk niet verplicht.

De authenticatie is bij het opnieuw verbinden soms optioneel. Daar komt de kwetsbaarheid kijken. De authenticatie kan worden gehackt als een BLE-apparaat de authenticatie van de cryptografische sleutels op het andere apparaat niet afdwingt tijdens opnieuw verbinden.

De kwetsbaarheid is niet in alle BLE-iteraties aanwezig, waarbij de versies die in Windows worden gebruikt immuun lijken te zijn. Versies die kwetsbaar zijn, zijn onder andere de Linux-versie van BLE (BlueZ), die wordt gebruikt voor de Internet of Things-apparaten, Android, Flouride en de iOS BLE-stack.

Apple stelt dat het de kwetsbaarheid in iOS en iPadOS 13.4 heeft gerepareerd. Echter, Android BLE is nog steeds kwetsbaar.

Potentieel gevaarlijke implicaties

De kwetsbaarheid kan groot zijn, gezien het feit dat er miljarden Android-toestellen bestaan. Het bereik van de aanvallen kan variëren in ernst, afhankelijk van het soort informatie dat potentiële slachtoffers van aanvallen via Bluetooth kunnen verzenden.

Helaas hebben sysadmins, net als andere eerdere Bluetooth-bugs, nu te maken met de nachtmerrie van het proberen te repareren van alle getroffen apparaten.

Tip Sophos zoekt de grenzen van Bluetooth-beveiliging op