Išmaniųjų telefonų turėtojų duomenis pavogti siekiančios programėlės – menka naujiena. „Android“ ir „iOS“ įrenginių turėtojai nuolat susiduria su aplikacijomis, kurios gali padaryti didelės žalos. Analogiška situacija yra ir su kompiuteriais bei daugeliu kitų įrenginių.
Dažniausiai įvairūs kenkėjai gali pakenkti specifinius įrenginius ar juose veikiančias operacines sistemas, tačiau naujausias mokslininkų tyrimas nustoto didžiulę problemą, kuri liečia kone kiekvieną elektronikos prietaisą, palaikantį „Bluetooth“ technologiją. Tai gali turėti įtakos milijardams įrenginių ir jų turėtojų.
EURECOM aukštosios inžinerijos mokyklos mokslininkai sukūrė šešis „Bluetooth“ ryšio technologijos atakos metodus, kuriais galima perimti ir iššifruoti duomenis, pažeidžiant buvusius ir būsimus ryšius. Šios atakos bendrai vadinamos BLUFFS, o tai leido aptikti du iki šiol nežinomus „Bluetooth“ standarto pažeidžiamumus.
Šie pažeidžiamumai nesusiję su aparatinės ar programinės įrangos konfigūracija, bet yra įsišakniję „Bluetooth“ standarto architektūroje fundamentaliu lygmeniu – jiems suteiktas numeris CVE-2023-24023 ir jie veikia versijose nuo 4.2 iki 5.4. Atsižvelgiant į platų protokolo naudojimą ir atakų prieš jo versijas įvairovę, BLUFFS atakos gali būti panaudotos milijarduose įrenginių, įskaitant išmaniuosius telefonus ir nešiojamuosius kompiuterius.
Daugelis išmaniųjų telefonų, kurie buvo pristatyti šiemet, naudoja ne naujesnę nei „Bluetooth 5.3“ versiją. Pavyzdžiui, „iPhone 15 Pro Max“ ar „Samsung Galaxy S23 Ultra“ turi būtent 5.3, o daugelis žemesnių klasės įrenginių veikia ir su senesne „Bluetooth“ versija. Žinoma, tarp tokių įrenginių patenka ne tik telefonai, bet ir daugelis išmaniųjų laikrodžių, belaidžių ausinių ar ausinukų ir daugybė kitų produktų.
Teigiama, kad BLUFFS atakų tikslas – pažeisti „Bluetooth“ ryšio saugumą, taip sukeliant pavojų buvusių ir būsimų įrenginių jungčių privatumui. Rezultatas pasiekiamas išnaudojant keturis pažeidžiamumus sesijos raktui gauti. Tai leidžia įsilaužėliui vykdyti atakas iššifruojant ankstesnius ryšius ir manipuliuojant būsimais.
Verta pastebėti, jog šį pažeidžiamumą aptikę mokslininkai ištestavo daugybę elektronikos įrenginių, kurie veikia su „Bluetooth“ versijomis nuo 4.1 iki 5.2. Testų rezultatai šokiruojantys – visi įrenginiai buvo įveikti su bent trimis iš šešių spragos išnaudojimo būdų. Tyrėjai pasiūlė belaidžio protokolo apsaugos metodus, kuriuos galima įgyvendinti išlaikant atgalinį suderinamumą su jau išleistais pažeidžiamais įrenginiais.
Į šią situaciją jau sureagavo ir „Bluetooth Special Interest Group“, kuri yra atsakinga už šį ryšio standartą. „Bluetooth SIG“ išplatino pareiškimą, kuriame ragina gamintojus sustiprinti saugumą ir įdiegti griežtesnius šifravimo nustatymus, kas leistų užkirsti minimos spragos išnaudojimą.
