Milijarde uređaja ugrožene zbog novootkrivenog sigurnosnog propusta u Bluetoothu

Ranjivost pod nazivom BLESA (Bluetooth Low Energy Spoofing Attack) čini potencijalnu štetu za milijarde pametnih telefona, tableta, prijenosnih računala i uređaja Interneta stvari (IoT). Srećom, izvještaji o stvarnoj šteti nisu stigli, tako da su stručnjaci na Sveučilištu Purdue možda spasili stvar.

Naime, otkrili su da u BLE protokolu postoji ranjivost prilikom uparivanja uređaja, što napadači mogu iskoristiti pa dođi do kontrole nad uređajem, a potom mogu napraviti štetu u raznim oblicima. A do toga dolazi jer BLE, koji služi kako bi štedio energiju uređaja pri radu bluetootha, nije dovoljno jak u smislu zaštite.

Stoga, kod rekonekcije ili povezivanja nanovo, ostavlja se mali, ali vrijedan prostor, hakerima za "ulazak". Konkretnije, dva su problema samog sustava u pitanju - ovjera prilikom novog povezivanja uređaja nije obvezna već ostavljena na izbor. I drugi problem je što se ovjera nekad uopće ne obavi kod IoT uređaja.

Napadači iskorištavanjem te ranjivosti mogu izbjeći ovjere i jednostavno dođi do kontrole nad sustavom, bez da on uopće primijeti da se išta dogodilo. Vrlo škakljiva i neželjena situacija, koja do ovog otkrića sedam akademika sa Sveučilišta Purdue nije bila poznata. Sad kad jest, stići će nadopune i "zakrpe" pa bi bluetooth tehnologija trebala ostaviti iza sebe nešto tako nepromišljeno i nedovoljno kvalitetno načinjeno.

Također, treba napomenuti i da ne vrijedi za sve takvo stanje "nedovoljne sigurnosti". Apple je u lipnju ove godine implementirao CVE-2020-9770 i riješio problem. Linuxov IoT tim također radi na rješenju problema. S druge strane, Android je još uvijek ranjiv i apelira se na Google da učini potrebne korake kako bi se tako nešto što prije riješilo.

Nije lako, ni najmanje. No, ako se brzo ne djeluje, šteta bi mogla biti i više nego razorna...