O Bluetooth é atualmente uma das formas mais usadas para interligar dispositivos de diversas categorias. Esta forma de comunicação é verdadeiramente universal e por isso é tão usada. Pois o Bluetooth tem agora novas falhas descobertas que colocam em causa a sua utilização em todos os equipamentos desde 2014.
Esta é uma triste novidade, mas pesquisadores da Eurecom desenvolveram seis novos ataques chamados coletivamente de “BLUFFS” que podem quebrar o sigilo das sessões Bluetooth. Ao fazer este ataque, podem permitir a personificação de dispositivos e criar ataques man-in-the-middle (MitM).
Estes seis ataques baseiam-se em 4 falhas já conhecidas e em 2 que foram agora descobertas. Estas duas últimas são igualmente graves e estão relacionadas com a forma como as chaves de sessão são derivadas para desencriptar as mensagens que estão a ser trocadas entre os dispositivos.
Os BLUFFS são uma série de ataques direcionados ao Bluetooth, com o objetivo de quebrar o sigilo e a segurança das sessões Bluetooth. Estes comprometem a confidencialidade das comunicações passadas e futuras entre os dispositivos afetados.
O maior problema é que estas falhas não estão relacionadas com hardware específico ou com um determinado fabricante. É algo que está presente na base do próprio protocolo e que como tal não pode ser resolvido diretamente. Está presente no Bluetooth 4.2 ao 5.4, inclusive, ou seja, em todos os dispositivos criados desde o final de 2014.
Os pesquisadores que descobriram estas falhas graves no Bluetooth desenvolveram e partilharam um kit de ferramentas no GitHub que demonstra a eficácia dos BLUFFS. Inclui um script Python para testar os ataques, os patches ARM, o analisador e as amostras PCAP capturadas durante os seus testes.
A solução futura para este problema passa por os dispositivos rejeitarem ligações com intensidade de chave baixa abaixo de sete octetos. Deve ainda ser usado o “Modo de Segurança Nível 4”, que garante um nível de criptografia mais elevado, e operado o modo “Somente Ligações Seguras” durante o emparelhamento.