Falha grave de segurança afeta todos os dispositivos que usam o Bluetooth

30 Nov 2023 · Hardware 3 Comentários

O Bluetooth é atualmente uma das formas mais usadas para interligar dispositivos de diversas categorias. Esta forma de comunicação é verdadeiramente universal e por isso é tão usada. Pois o Bluetooth tem agora novas falhas descobertas que colocam em causa a sua utilização em todos os equipamentos desde 2014.

Esta é uma triste novidade, mas pesquisadores da Eurecom desenvolveram seis novos ataques chamados coletivamente de "BLUFFS" que podem quebrar o sigilo das sessões Bluetooth. Ao fazer este ataque, podem permitir a personificação de dispositivos e criar ataques man-in-the-middle (MitM).

Estes seis ataques baseiam-se em 4 falhas já conhecidas e em 2 que foram agora descobertas. Estas duas últimas são igualmente graves e estão relacionadas com a forma como as chaves de sessão são derivadas para desencriptar as mensagens que estão a ser trocadas entre os dispositivos.

Os BLUFFS são uma série de ataques direcionados ao Bluetooth, com o objetivo de quebrar o sigilo e a segurança das sessões Bluetooth. Estes comprometem a confidencialidade das comunicações passadas e futuras entre os dispositivos afetados.

O maior problema é que estas falhas não estão relacionadas com hardware específico ou com um determinado fabricante. É algo que está presente na base do próprio protocolo e que como tal não pode ser resolvido diretamente. Está presente no Bluetooth 4.2 ao 5.4, inclusive, ou seja, em todos os dispositivos criados desde o final de 2014.

Os pesquisadores que descobriram estas falhas graves no Bluetooth desenvolveram e partilharam um kit de ferramentas no GitHub que demonstra a eficácia dos BLUFFS. Inclui um script Python para testar os ataques, os patches ARM, o analisador e as amostras PCAP capturadas durante os seus testes.

A solução futura para este problema passa por os dispositivos rejeitarem ligações com intensidade de chave baixa abaixo de sete octetos. Deve ainda ser usado o "Modo de Segurança Nível 4", que garante um nível de criptografia mais elevado, e operado o modo "Somente Ligações Seguras" durante o emparelhamento.

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Simões

Tags: Bluetooth dispositivos falha Segurança

Comentários3

papamoscas says:

30 de Novembro de 2023 às 19:20

Pois, agora é que isto fica critico, sinto-me tão inseguro. Realmente é um ataque que qualquer pessoa a minha volta num raio de 5 metros tem conhecimento para fazer. E o que é que o atacante me vai roubar por Bluetooth, será a musica que estou a partilhar com o rádio do carro? Ou os dados da pulseirinha? Até vou ficar em casa hoje!

Responder
- MR says:
  
  1 de Dezembro de 2023 às 00:14
  
  Se forem interceptados os dados entre o telemóvel e o smartwatch, e não existir mais nenhum nível de encriptação, em teoria o atacante poderá fazer ,pelo menos, todas as operações que estão disponíveis no smartwatch.
  
  Responder
- Ou será? says:
  
  2 de Dezembro de 2023 às 14:58
  
  Ou será que te pode injetar software malicioso no dispositivo para fazer e roubar o que quiser?
  
  Realmente pensar faz calos.
  
  Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.