Vulnerabilità sul protocollo Bluetooth: coinvolti device Apple e Microsoft

Vulnerabilità sul protocollo Bluetooth: coinvolti device Apple e Microsoft

È stata scoperta una grave vulnerabilità nel protocollo Bluetooth che consentirebbe a un attore malevolo di tracciare un dispositivo riconoscendolo ancor prima del pairing

di pubblicata il , alle 17:21 nel canale Sicurezza
MicrosoftApple
 

Una falla di sicurezza nel protocollo Bluetooth potrebbe consentire a un eventuale aggressore di tracciare e identificare i dispositivi di Apple e Microosft. A rivelarlo è ZDNet, che cita una nuova ricerca della Boston University secondo la quale dispositivi Apple (Mac, iPhone, iPad e anche Apple Watch) e Microsoft (tablet e notebook della famiglia Surface) sono vulnerabili all'exploit. Non sono invece vulnerabili i dispositivi Android.

Microsoft Surface Book

Come sottolineato dal documento che accompagna l'indagine, i dispositivi Bluetooth utilizzano canali pubblici per dichiarare la loro presenza ad altri dispositivi compatibili. Per impedirne la tracciabilità la maggior parte dei dispositivi diffonde un indirizzo random che cambia periodicamente, e non il MAC (Media Access Control) univoco. I ricercatori hanno scoperto che è possibile estrarre dei token di identificazione che permettono il riconoscimento del dispositivo sfruttando un algoritmo definito di "address-carryover".

L'algoritmo presentato nei documenti "sfrutta il fatto che i token di identificazione e l'indirizzo random non cambiano in sincronia, un modo da tracciare continuamente un dispositivo nonostante vengano implementate le misure di anonimizzazione". Inoltre, l'algoritmo non ha bisogno di violare la sicurezza del protocollo Bluetooth per essere efficace, basandosi interamente su "traffico pubblico e non protetto da crittografia". Il metodo di tracciamento spiegato nel documento dà la possibilità ad un attore malevolo di eseguire un attacco che consente un tracciamento "permanente e non continuo", mentre su iOS potrebbe addirittura offrire accesso alle attività dell'utente.

I dispositivi Android utilizzano un altro sistema per la dichiarazione della propria presenza, che non è vulnerabile all'exploit divulgato in questi giorni. Non è ancora chiaro se il metodo descritto sia già stato utilizzato con finalità malevoli, e comunque si tratterebbe di un attacco difficilmente rilevabile dalla vittima. Nel documento si leggono diversi metodi che consentono di mitigare il problema, ma sarà cura di Apple e Microsoft implementare i fix via software nei sistemi operativi. È prevedibile l'arrivo di un fix da ambo le parti nel prossimo futuro.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^