گروه Bluetooth Special Interest Group یک آسیبپذیری جدید را در استانداردهای بلوتوث ۴/۲ و ۵/۰ تأیید کردهاند. این آسیبپذیری به مجرمان سایبری حاضر در محدودهی ارتباط بیسیم امکان میدهد تا کلید جفت شدن دستگاهها را جایگزین کنند و به دستگاههای بلوتوثی دیگر جفتشده با همین کلید، دسترسی پیدا کنند.
کشف آسیبپذیری جدید ارتباط بلوتوثی، نتیجهی تحقیق دو گروه امنیتی مجزا در دانشگاههای Purdue University و École Polytechnique Fédérale de Lausanne است. آنها نام BLURtooth را برای آسیبپذیری جدید انتخاب کردند. برای سوءاستفاده از آسیبپذیری، فرایندی موسوم به Cross-Transport Key Derivation یا CTKD هدف قرار میگیرد. فرایند CTKD، برای تبادل کلیدهای اعتبارسنجی در جفت کردن دستگاههای بلوتوثی هماهنگ با استانداردهای BLE و BR/EDR استفاده میشود.
انجمن Bluetooth SIG پس از انتشار اخبار اولیه دربارهی آسیبپذیری جدید، نکاتی را برای تشریح بیشتر وضعیت ارائه کرد. آنها ابتدا گفته بودند که تمامی ارتباطهای بلوتوثی استاندارد ۴/۰ تا ۵/۰ تحت تأثیر آسیبپذیری BLURtooth هستند. بیانیهی جدید میگوید که خطر مذکور، تنها ارتباطهای بلوتوث ۴/۲ و ۵/۰ را تهدید میکند. برای سوءاستفاده از آسیبپذیری، دستگاه قربانی باید بهصورت همزمان از هر دو استاندارد LE و BR/EDR پشتیبانی کند. همچنین مشخصات دیگری همچون پشتیبانی از جابهجایی کلیدهای امنیتی بین دستگاهها و جفت کردن کلیدها در روشی خاص هم باید در دستگاه قربانی پشتیبانی شود.
بستهی امنیتی برای رفع آسیبپذیری BLURtooth در Bluetooth Core Specification 5.1 و نسخههای جدیدتر وجود دارد. انجمن SIG از اعضایی که دستگاههایی با آسیبپذیری BLURtooth تولید میکنند درخواست کرد تا تغییرات جدید را تا حد امکان در دستگاههای خود پیادهسازی کنند.
مشکل امنیتی بلوتوث میتواند میلیونها دستگاه گوشی هوشمند، تبلت، لپتاپ و دستگاههای اینترنت اشیاء را تهدید کند که از روش جفت شدن بلوتوثی در حالت دوگانه پشتیبانی میکنند. بسیاری از دستگاهها، از مدل امنیتی موسوم به Just Works در جفت شدن با دستگاههای دیگر بهره میبرند که در مقابل حملههای Man in the Middle یا MITM مقاوم نیستند. این حملهها برای استراغ سمع نیز استفاده میشوند. درنهایت مجرم سایبری میتواند از آسان بودن ساختار جفت شدن دستگاهها سوءاستفاده کرده و با جعل هویت دستگاه شما، به دستگاههای دیگر با کدهای رمزنگاری قویتر هم دسترسی پیدا کند.
اطلاعات بیشتر: کلیک کنید