Bluetooth, scoperta una falla di sicurezza

Simulando un "Attacco dimostrativo" si spiega come spiare le comunicazioni cifrate e si evidenzia la falla nel sistema di Bluetooth

bluetooth

 

Un gruppo di ricercatori, tra i quali l’ingegnere pesarese Daniele Antonioli, ha identificato una falla di sicurezza nella tecnologia Bluetooth e condotto un severo attacco in grado di spiare le comunicazioni cifrate e di modificare il contenuto di comunicazioni cifrate di qualsiasi dispositivo Bluetooth.

I ricercatori hanno chiamato il loro attacco Key Negotiation Of Bluetooth (KNOB) attack.

Il team internazionale è composto, oltre che da Antonioli della Singapore University of Technology and Design (SUTD), da Nils Ole Tippenauer dell’Helmholtz Center for Information Security (CISPA) e da Kasper Rasmussen della Università di Oxford.

Il team ha identificato la vulnerabilità nel maggio 2018 e ha implementato l’attacco a ottobre 2018.

Data la portata dell’attacco i ricercatori hanno riportato il problema al consorzio Bluetooth (Bluetooth SIG) e al Computer Emergency Response Team (CERT), e hanno coordinato con questi la gestione delle patches di sicurezza.

Il KNOB attack è stato presentato da Antonioli, dopo quasi un anno di embargo, il 15 agosto 2019 alla conferenza scientifica USENIX Security Symposium tenuta a Santa Clara nella Silicon Valley.

L’attacco Knob, spiega Antonioli, “sfrutta una falla di sicurezza nelle specifiche Bluetooth che regolano le connessioni cifrate tra dispositivi”. “Un ‘attaccante’ – spiega – può sfruttare queste falle per forzare la negoziazione di chiavi crittografiche deboli e poi ottenere accesso alle chiavi e quindi ai dati. Per esempio, tutte le volte che connettiamo il nostro smartphone con le nostre cuffie Bluetooth, i due dispositivi negoziano una nuova chiave per cifrare le comunicazioni e un ‘attaccante’ – prosegue Antonioli – può usare l’attacco KNOB per decifrare le informazioni scambiate dai nostri due dispositivi e accedere ai nostri dati, inclusi quelli sensibili”.

© StudioColosseo s.r.l. - studiocolosseo@pec.it
Il Sito è iscritto nel Registro della Stampa del Tribunale di Roma n.10/2014 del 13/02/2014