Pplware

Falha de segurança no Bluetooth deixa milhões de dispositivos vulneráveis

Ao longo dos anos, a forma de interligar equipamentos tem vindo a evoluir de forma acelerada. O Bluetooth é hoje o expoente máximo desta capacidade, graças à sua facilidade de utilização.

Este mecanismo tem agora uma falha conhecida, com grande impacto na segurança dos equipamentos. É de tal forma grave que deixa milhões de dispositivos vulneráveis a ataques.


Interligar dois equipamentos via Bluetooth é muito simples. Basta colocar ambos os equipamentos em escuta e rapidamente estes negoceiam a forma de se interligar. Claro que é principalmente um processo seguro, que continua depois na comunicação entre eles.

Problemas no Bluetooth nos dispositivos

É precisamente neste meio de comunicação que esta falha está identificada. O problema não vem da cifra que é aplicada, que se sabe ser segura, mas sim na forma como é negociada. Bom recurso a técnicas de MITM (man-in-the-midd) é possível fazer baixar a segurança desta cifra.

Do que foi descoberto, é possível a um atacante intrometer-se na negociação de equipamentos Bluetooth. Desta forma, consegue forçar que ambos usem cifras de segurança muito fracas, ficando assim simples descobrir a informação trocada.

Na prática, este problema não permite que seja possível de forma direta saber a informação trocada. Permite sim obrigar que os equipamentos usem cifras mais fracas, que depois e torna mais simples de quebrar. Estas passam a poder ser atacadas por força bruta, em tempo útil.

Nem tudo é negativo nesta falha de segurança

A parte positiva no meio deste problema é que não afeta equipamentos com BLE (Bluetooth Low Energy). Também deixa de fora equipamentos que tenham definida um tamanho de cifra mais segura. Não há também evidências que esta falha esteja a ser ativamente explorada.

Esta falha não poderá ser corrigida entretanto sem uma atualização de firmware, o que deixa os utilizadores vulneráveis. A entidade que gere as definições do Bluetooth apenas pode garantir, contudo, que irá no futuro obrigar à utilização de informações de cifra mais seguras e menos vulneráveis a estes ataques.

Exit mobile version