Um grupo de pesquisadores descobriu uma vulnerabilidade de segurança crítica no protocolo de comunicação sem fio Bluetooth. O problema deixa milhões de dispositivos vulneráveis ??a ataques. Sendo assim, uma grande falha de segurança Bluetooth deixa milhões de dispositivos vulneráveis.
Daniele Antonioli, da Universidade de Tecnologia e Design de Cingapura, Nils Ole Tippenhauer, do Centro de Segurança da Informação da CISPA Helmholtz, e Kasper Rasmussen, do Departamento de Ciência da Computação da Universidade de Oxford, publicaram um artigo.
Este foi intitulado “The KNOB is Broken: Exploiting Low Entropy in the Encryption Key Negotiation Of Bluetooth BR/EDR”. Em tradução livre: O KNOB está quebrado: explorando baixa entropia na Negociação Chave de Criptografia do Bluetooth BR/EDR. Assim, os pesquisadores revelam uma nova falha importante de segurança do Bluetooth.
Como funciona esta grande falha de segurança Bluetooth que deixa milhões de dispositivos vulneráveis
De acordo com os pesquisadores de segurança, a nova vulnerabilidade do Bluetooth pode deixar milhões de dispositivos equipados com Bluetooth expostos a um novo tipo de ataque chamado KNOB.Assim, permite um ataque de força bruta durante emparelhamento Bluetooth. Portanto, podem espionar os dados que são compartilhados entre dispositivos Bluetooth, mesmo que tenham sido emparelhados anteriormente.
O ataque KNOB é possível devido a falhas na especificação Bluetooth. Como tal, qualquer dispositivo Bluetooth compatível com o padrão pode ser vulnerável. Nós conduzimos ataques KNOB em mais de 17 chips Bluetooth exclusivos (atacando 24 dispositivos diferentes). Na época em que escrevemos, pudemos testar chips dos fabricantes Broadcom, Qualcomm, Apple, Intel e Chicony. Todos os dispositivos que testamos estavam vulneráveis ??ao ataque KNOB, diz o site oficial do KNOB.
Atualize seus dispositivos imediatamente
Sendo uma grande vulnerabilidade que afeta todos os dispositivos habilitados para Bluetooth, os pesquisadores de segurança tiveram que coordenar a divulgação pública com a indústria. Assim, as empresas tiveram tempo de corrigir a falha e liberar atualizações de segurança para os usuários instalarem em seus dispositivos equipados com Bluetooth. A falha de segurança foi divulgada em novembro de 2018 com o Bluetooth Special Interest Group (Bluetooth SIG) e está documentada como CVE-2019-9506.
Enquanto algumas das principais empresas de tecnologia como Apple, Intel e Microsoft já lançaram patches para essa vulnerabilidade crítica do Bluetooth, as pesquisas de segurança alertam que, se o dispositivo não foi atualizado desde o final de 2018, é provável que seja vulnerável. Portanto, recomenda-se atualizar todos os seus dispositivos habilitados para Bluetooth para a versão de software mais recente disponível no momento.
