Žiadna technológia nie je 100-percentne dokonalá. A platí to aj tých, ktoré sú na trhu už dlho pevne usadené. Exemplárnym príkladom je Bluetooth, ktorý sa kedysi používal na bezdrôtové zdieľanie súborov medzi zariadeniami, dnes skôr na párovanie zariadení s príslušenstvom. Ako píše server MobilMania.cz, viacero verzií tejto technológie trpí kurióznou chybou. Týka sa teda širokého spektra smartfónov, tabletov, ale aj hodiniek.
Prejsť na:
Hoci sme použili singulár, celkovo bolo v prostredí Bluetooth odhalených až šesť zraniteľností. Spoločne sú označované ako BLUFFS. A žiaľ, chránené pred nimi nie je žiadne zariadenie, ktorého sa táto záležitosť týka. Zraniteľnosti mali byť odhalené v prostredí verzií od Bluetooth 4.2 až po Bluetooth 5.4, ktorá debutovala vo februári tohto roku.
Nikto nie je v bezpečí
Testy odhalili, že mnohé z postihnutých zariadení trpia minimálne troma z celkovo šiestich medzier. Je pritom úplne jedno, o akú značku zariadenia ide. Chyby sa totiž neviažu na modemy, ale priamo na samotnú technológiu Bluetooth. Práve to je dôvod, prečo pred nimi nie sú chránené nielen smartfóny, ale ani inteligentné hodinky, tablety či bezdrôtové slúchadlá.
Tieto zraniteľnosti môžu byť využité na prekonanie systémov na ochranu súkromia a následné ohrozenie výmeny údajov, a to ako za súčasného, tak aj budúceho stavu.
Útočník, ktorý sa nachádza v dosahu, môže identifikovať špecifický kľúč, ktorý slúži na šifrovanie dát. Urobiť tak môže predstieraním, že je jedným zo zariadením zdieľajúcim dáta. Akonáhle sa mu to podarí, dokáže manipulovať s odosielanými údajmi.
Zakročiť môžu výrobcovia
Zraniteľnosti sa podarilo odhaliť francúzskej firme Eurecom, ktorá k nim vydala varovnú správu. Okrem charakteru možných rizík v nej opisuje aj rôzne metódy, akými možno generovať zabezpečené kľúče, a odporúča rôzne zmeny v zabezpečení komunikácií.
Tím z Eurecom už odoslal svoje poznatky o zraniteľnostiach organizácii Bluetooth SIG, ktorá technológiu spravuje. Tá chybu priznala, no zatiaľ vraj nemá v pláne pristúpiť k žiadnym výrazným úpravám.
Ako sa teda možno pred zraniteľnosťami chrániť? Táto úloha pripadá predovšetkým výrobcom zariadení, ktorým je odporúčané, aby zariadenia odmietali slabšie zabezpečené šifrované spojenia. Do tejto definície majú spadať kľúče so silou od 7 oktetov. Taktiež je im odporúčané, aby zariadenia automaticky vyžadovali čo najsilnejšie šifrovacie kľúče. Tieto odporúčania môžu byť uplatnené aj už na existujúcich zariadeniach.
Pri nových zariadeniach môže byť riešením napríklad vopred lepšie zabezpečenie bezdrôtových prenosov.
Oficiálne označenie chyby, pod ktorým sa zraniteľnosti zoskupujú znie CVE-2023-2403. Zlou správou je, že na ňu zatiaľ neexistuje efektívne softvérové riešenie, a to ani na OS Android, ani na iOS.
Ako sa možno chrániť?
Kým výrobcovia vydajú opravné aktualizácie, ktoré môžu aplikovať uvedené odporúčania, používatelia sa môžu chrániť napríklad tým, že Bluetooth vypnú, keď ho aktívne nepoužívajú. Dobrou radou je taktiež zvýšená opatrnosť, s čím sa svoje zariadenie chystáte spárovať. Vždy sa teda pripájajte len na tie zariadenia, ktorým plne dôverujete.
