BLESA: Scoperta una nuova vulnerabilità Bluetooth

E’ stata scoperta una vulnerabilità critica nello stack del software Bluetooth che potrebbe esporre miliardi di dispositivi all’hacking.

Dettagliata dai ricercatori della Purdue University, la nuova vulnerabilità è stata soprannominata BLESA, abbreviazione di Bluetooth Low Energy Spoofing Attack. La vulnerabilità è correlata al processo di riconnessione nello stack software BLE.

Questo processo è il momento in cui due dispositivi Bluetooth precedentemente accoppiati si riconnettono e coinvolge entrambi i dispositivi che controllano le chiavi crittografiche l’uno dell’altro per riconnettersi. Ma secondo la ricerca, lo standard nel software significa che la parte di controllo non è obbligatoria.

La vulnerabilità non esiste in tutte le implementazioni di BLE e Windows è sorprendentemente immune. La vulnerabilità è stata, tuttavia, riscontrata in BlueZ, un’implementazione basata su Linux di BLE utilizzata nei dispositivi “Internet of Things”; Flouride, utilizzato in Android; e nello stack iOS BLE.

“Sfortunatamente, come è stato con i precedenti bug Bluetooth, gli amministratori di sistema devono affrontare l’incubo di tentare di patchare tutti i dispositivi vulnerabili e questo solo se è disponibile una patch”, ha detto. “È anche un peccato che gli utenti standard di dispositivi mobili e altri dispositivi non applichino la patch ai propri dispositivi se e quando una patch sarà disponibile”.