Bluetooth insicuro fai attenzione il tuo telefonino potrebbe essere a rischio: leggi come proteggerti

GUADAGNA & RISPARMIA con i nostri Coupon & Referral Code: CLICCA QUI ORA!

Bluetooth, scoperte due gravi falle di sicurezza: miliardi di device a rischio – Parte 1

Il mondo della tecnologia è stato scosso da una scoperta recente che potrebbe mettere a rischio la sicurezza di miliardi di dispositivi Bluetooth. Un gruppo di ricercatori italiani guidati dal professore associato Daniele Antonioli, noto esperto nel campo della sicurezza applicata e della privacy dei sistemi, ha rivelato due gravi falle di sicurezza che coinvolgono la tecnologia di trasmissione Bluetooth. Queste vulnerabilità potrebbero consentire a utenti malintenzionati di dirottare le connessioni di dispositivi Bluetooth da 4.2 a 5.4, compresi laptop, smartphone e altri dispositivi che sono stati sul mercato dal 2014 ad oggi.

Il Pericolo Chiamato BLUFFS

I ricercatori hanno battezzato queste vulnerabilità con il nome “BLUFFS” (Bluetooth Forward and Future Secrecy). Questi attacchi mirano a sfruttare falle nella creazione di sessioni Bluetooth, consentendo a potenziali aggressori di impersonare dispositivi e di eseguire attacchi “man-in-the-middle (MitM).” Questo significa che gli aggressori potrebbero intercettare e manipolare le comunicazioni tra dispositivi Bluetooth in modo non autorizzato, mettendo a rischio la privacy e la sicurezza delle informazioni trasmesse.

L’Enorme Impatto Potenziale

La portata di questi attacchi è significativa, considerando l’ampia diffusione della tecnologia Bluetooth e le versioni interessate dalle vulnerabilità. Gli attacchi BLUFFS potrebbero funzionare contro miliardi di dispositivi, poiché coinvolgono le specifiche Bluetooth Core dalla versione 4.2 alla 5.4. Questo include una vasta gamma di dispositivi, dai più comuni smartphone ai laptop e persino agli auricolari wireless.

Dettagli Sugli Attacchi BLUFFS

Nel documento pubblicato dal professor Antonioli, vengono descritti sei tipi di attacchi BLUFFS, che coprono varie combinazioni di impersonificazione e attacchi MitM. Questi attacchi funzionano indipendentemente dal fatto che le vittime supportino Secure Connections (SC) o Legacy Secure Connections (LSC). Inoltre, i ricercatori hanno reso pubblico un toolkit su GitHub che dimostra l’efficacia dei BLUFFS, incluso uno script Python per testare gli attacchi, patch ARM, parser e esempi PCAP raccolti durante i test.

La Vulnerabilità Chiave: Chiavi di Sessione Deboli e Prevedibili

Gli attacchi BLUFFS si basano su quattro vulnerabilità architetturali legate alla creazione di sessioni Bluetooth. Tra queste, due sono particolarmente rilevanti. Il primo problema permette alla parte centrale di impostare i valori di diversificazione delle chiavi di sessione, consentendo così a un aggressore di guidare unilateralmente questa diversificazione quando si finge da parte centrale. Il secondo problema riguarda l’uso dei numeri casuali nella diversificazione delle chiavi senza l’utilizzo di “nonce” (numeri unici). Questo fa sì che i numeri possano essere riutilizzati in sessioni passate, presenti e future, aprendo la strada a potenziali attacchi.

Le Possibili Soluzioni

Fortunatamente, il professor Antonioli ha anche proposto soluzioni per mitigare questi attacchi. Una soluzione avanzata di derivazione chiave per Bluetooth potrebbe prevenire tutti e sei gli attacchi e le relative vulnerabilità. Inoltre, sono state suggerite alcune modifiche al protocollo Bluetooth per migliorare la sicurezza, come l’introduzione di una nuova “funzione di derivazione chiave” (KDF) per Legacy Secure Connections (LSC) e l’uso di una chiave di accoppiamento condivisa per l’autenticazione reciproca dei diversificatori chiave.

L’Azione delle Aziende e del Bluetooth SIG

L’organizzazione no-profit Bluetooth SIG, che supervisiona lo sviluppo dello standard Bluetooth, è stata informata di questi metodi di attacco. Inoltre, aziende di spicco come Google, Intel, Apple, Qualcomm e Logitech hanno confermato di lavorare a soluzioni per affrontare questa minaccia alla sicurezza Bluetooth. Nel frattempo, il Bluetooth SIG ha suggerito alcune misure di sicurezza, tra cui l’uso di una chiave di forza superiore a sette ottetti e la Modalità di sicurezza 4 livello 4 durante l’accoppiamento.

In questo primo articolo, abbiamo esaminato le gravi falle di sicurezza Bluetooth scoperte dai ricercatori italiani, i pericolosi attacchi BLUFFS e le possibili soluzioni proposte per mitigare questa minaccia. Nella parte successiva, approfondiremo ulteriormente le implicazioni di queste vulnerabilità e le azioni che gli utenti e i produttori di dispositivi possono intraprendere per proteggersi. Restate sintonizzati per saperne di più su questo importante sviluppo nel mondo della tecnologia Bluetooth.

Sostieni Assodigitale.it nella sua opera di divulgazione

Grazie per avere selezionato e letto questo articolo che ti offriamo per sempre gratuitamente, senza invasivi banner pubblicitari o imbarazzanti paywall e se ritieni che questo articolo per te abbia rappresentato un arricchimento personale e culturale puoi finanziare il nostro lavoro con un piccolo sostegno di 1 chf semplicemente CLICCANDO QUI.

Articolo editoriale realizzato dalla Redazione di Assodigitale. Per tutte le vostre esigenze editoriali e per proporci progetti speciali di Branded Content oppure per inviare alla redazione prodotti per recensioni e prove tecniche potete contattarci direttamente scrivendo alla redazione : CLICCA QUI

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.