Contenidos
En el pasado, se han encontrado varios agujeros de seguridad en Bluetooth. Hoy se descubrió otra falla de seguridad en las versiones 4.0 a 5.0 de Bluetooth. Sin embargo, si es un usuario de iPhone, es menos susceptible a esta falla de seguridad.
Dos investigadores de seguridad, École Polytechnique Fédérale de Lausanne (EPFL) y Purdue University, identificaron de forma independiente una falla de seguridad en Bluetooth v4.0 y sus versiones avanzadas.
Esta falla de seguridad permite al atacante conectarse al dispositivo de un usuario sin la necesidad de autenticar la conexión. Esta vulnerabilidad se denominó ataque Man-In-The-Middle (MITM). En esta falla de seguridad, un atacante puede hacerse pasar por un dispositivo previamente asociado con el dispositivo de un usuario, lo que permitiría al atacante conectarse al teléfono de un usuario sin ninguna intervención.
Aunque la gravedad de la vulnerabilidad aún no está clara, el Grupo de Interés Especial de Bluetooth (SIG) ha confirmado esta falla de seguridad. Según Bluetooth SIG, no hay mucho que la organización pueda hacer en este momento. Al parecer, se puso en contacto con los proveedores y recomendó pasos para protegerse contra esta falla de seguridad. Al comentar sobre el asunto, la organización Bluetooth SIG publicó la declaración que se menciona a continuación.
Investigadores de École Polytechnique Fédérale de Lausanne (EPFL) y Purdue University han identificado de forma independiente vulnerabilidades relacionadas con la derivación de claves de transporte cruzado (CTKD) en implementaciones que admiten el emparejamiento y el cifrado con Bluetooth BR / EDR y LE en las especificaciones de Bluetooth 4.0 a 5.0 […]
Para que este ataque tenga éxito, un dispositivo atacante debería estar dentro del alcance inalámbrico de un dispositivo Bluetooth vulnerable que admita transportes BR / EDR y LE que admitan CTKD entre transportes y permita el emparejamiento en el transporte BR / EDR o LE sin ninguno. autenticación (por ejemplo, JustWorks) o sin restricciones de acceso controladas por el usuario sobre la disponibilidad de emparejamiento. Si un dispositivo que falsifica la identidad de otro dispositivo está emparejado o vinculado a un transporte y CTKD se usa para derivar una clave que luego sobrescribe una clave preexistente de mayor fuerza o que se creó mediante autenticación, el acceso a servicios autenticados. Esto podría permitir un ataque de hombre en el medio (MITM) entre dispositivos previamente conectados a través de un emparejamiento autenticado cuando esos dispositivos pares son vulnerables.
En el lado positivo, se dice que los usuarios de iOS son menos vulnerables, ya que Apple ofrece protecciones como el sandboxing de aplicaciones en iOS, que podría proteger a los usuarios de agujeros de seguridad como estos. Además, Apple requiere que las aplicaciones soliciten permiso a un usuario cuando se requiere una conexión Bluetooth. Este paso notifica al usuario de la conexión y si el usuario no ha iniciado la conexión, puede denegar la solicitud de conexión, lo que protege a los usuarios de tales ataques.
Nuestra Toma
Ahora que conoce esta nueva falla de seguridad en Bluetooth, asegúrese de vigilar sus conexiones Bluetooth. Después de todo, la autoprotección es la mejor protección.
[Source: 9to5Mac]