Um alerta preocupante surge no cenário da cibersegurança, revelando uma nova vulnerabilidade que poderia impactar significativamente a segurança dos dispositivos Bluetooth.
Pesquisadores da Eurecom identificaram uma técnica que permite a interceptação entre dois terminais em comunicação via Bluetooth, abrindo caminho para ataques de personificação de dispositivos e ataques man-in-the-middle (MitM).
Denominada "BLUFFS", essa técnica explora duas falhas cruciais, que afetam a especificação do núcleo do Bluetooth a partir da versão 4.2. Essas vulnerabilidades comprometem a confidencialidade da comunicação, sendo categorizadas como ataques que ocorrem em um nível fundamental do protocolo.
Tecnicamente falando, as falhas exploram a maneira como o Bluetooth deriva chaves de sessão para descriptografar dados em troca. Ao afetar esse processo de derivação, os invasores podem forçar a criação de uma chave de sessão curta, sujeita a ataques de força bruta. Esse cenário possibilita a espionagem de comunicações entre os dispositivos.
Embora o invasor precise estar dentro do alcance Bluetooth dos dois terminais (que é de cerca de 8-10 metros), os pesquisadores identificaram seis cenários diferentes de ataques MitM que exploram essa falha.
Para demonstrar a eficácia do BLUFFS, eles desenvolveram um kit de ferramentas compartilhado no GitHub.
Visando mitigar essas ameaças, os pesquisadores propuseram modificações no padrão Bluetooth, incluindo aprimoramentos no processo de derivação da chave de sessão. Essas modificações, compatíveis com versões anteriores, buscam proteger os dispositivos contra ataques como o BLUFFS.
Considerando que o Bluetooth é um padrão estabelecido para comunicação sem fio, essa vulnerabilidade poderia afetar bilhões de dispositivos globalmente, desde laptops e smartphones até sensores conectados à Internet.
Os testes realizados pela Eurecom confirmaram a vulnerabilidade em diferentes endpoints, ressaltando a importância de medidas rápidas para proteger a integridade desses dispositivos.
VEJA TAMBÉM:
- Amazon apresenta o Q, chatbot com IA para empresas
- IA da Meta converte pensamentos em palavras e é promissora para a medicina
- IA usada em novo estudo conclui que asteroide não matou os dinossauros
