HardwareWeb

Individuata una grave vulnerabilità in alcune implementazioni dello standard Bluetooth

I produttori sono già al lavoro su un Update per correggere il problema

Bluetooth

L’organizzazione che si occupa del Bluetooth, il Bluetooth SIG (Special Interest Group), ha dovuto aggiornare le specifiche della tecnologia per correggere una vulnerabilità che poteva essere sfruttata per portare a termine attacchi di tipo man-in-the-middle. Il problema, individuato da alcuni ricercatori dell’Istitute of Technology istraeliano, risiede all’interno della funzionalità denominata SSP (Secure Simple Pairing). I dispositivi Bluetooth che implementano la versione 2.1, per lo scambio dei dati in forma cifrata, utilizzano il meccanismo di accoppiamento SSP, basato su uno scambio di chiavi. Quest’ultime sono composte da una chiave privata ed una pubblica: quella pubblica viene scambiata tra i dispositivi con l’obiettivo di generare una chiave simmetrica condivisa per l’accoppiamento, denominata link key. Entrambe le chiavi vengono generare sulla base di alcuni parametri crittografici “concordati” tra i due dispositivi coinvolti.

 

Un malintenzionato che si pone nel raggio d’azione dei dispositivi affetti dalla vulnerabilità, potrebbe, in teoria, sfruttare il problema per iniettare una chiave pubblica arbitraria durante l’accoppiamento, riuscendo a determinare, con un alto livelli di probabilità, la link key. Questa vulnerabilità, se sfruttata in maniera opportuna, consentirebbe all’attaccante di decifrare ogni messaggio scambiato tra i dispositivi, oppure di inserire informazioni dannose all’interno della comunicazione. In virtù di ciò, il Bluetooth SIG ha aggiornato le specifiche del Bluetooth, per far si che venga richiesta la convalida di ogni chiave pubblica ricevuta nell’ambito delle procedure di sicurezza basate su chiavi pubbliche. Tutti i principali produttori rilasceranno, a stretto giro, aggiornamenti specifici per risolvere il problema; ovviamente consigliamo l’installazione immediata.