Tom's Hardware Italia
Sicurezza

Grave falla di sicurezza nel Bluetooth, dalla versione 1.0 alla 5.1

Un gruppo internazionale di ricercatori del Center for IT-Security, Privacy and Accountability (CISPA) ha scoperto una grave vulnerabilità nel Bluetooth.

Il Bluetooth fino all’anno scorso soffriva di una grave falla di sicurezza che consentiva di aggirare la cifratura applicata ai collegamenti ai dispositivi. Insomma “una grave minaccia per la sicurezza e la privacy di tutti gli utenti Bluetooth (dalla versione 1.0 a 5.1, N.d.R.)”, secondo gli esperti.

Il problema è stato scoperto a maggio 2018 da un gruppo internazionale di ricercatori del Center for IT-Security, Privacy and Accountability (CISPA), di cui fa parte anche il pesarese Daniele Antonioli della Singapore University of Technology and Design (SUTD). Lo specialista insieme ai colleghi Nils Ole Tippenauer dell’Helmholtz Center for Information Security (CISPA) e Kasper Rasmussen della Università di Oxford a ottobre 2018 hanno dimostrato con un attacco battezzato “KNOB” come un pirata informatico potesse sfruttare queste falle – a distanza di copertura del segnale wireless – per forzare la negoziazione di chiavi crittografiche deboli e poi ottenere accesso alle chiavi e quindi ai dati.

Photo credit - depositphotos.com

“Per esempio, tutte le volte che connettiamo il nostro smartphone con le nostre cuffie Bluetooth, i due dispositivi negoziano una nuova chiave per cifrare le comunicazioni e un può usare l’attacco KNOB per decifrare le informazioni scambiate dai nostri due dispositivi e accedere ai nostri dati, inclusi quelli sensibili”, ha spiegato oggi Antonioli all’ANSA.

Ovviamente l’azione di ricerca si è svolta nel rispetto dell’etica che contraddistingue il settore e infatti ogni dettaglio è stato svelato solo il 15 agosto  durante la conferenza scientifica USENIX Security Symposium di Santa Clara (USA). Lo scorso autunno il consorzio Bluetooth e Computer Emergency Response Team (CERT) hanno collaborato con i ricercatori per implementare patch adeguate. Ad ogni modo non esistono prove di uno sfruttamento riuscito della vulnerabilità.