Bluetooth-kwetsbaarheid brengt miljarden apparaten in gevaar

Volgens Android Authority toont de exploitpost een relatief eenvoudige methode om Bluetooth-encryptiesleutels tussen twee apparaten te forceren. Als dit lukt, kan een aanvaller zich voordoen als het apparaat en toegang krijgen tot gevoelige gegevens.

Deze exploit lijkt in ieder geval gedeeltelijk te werken op elk apparaat met Bluetooth 4.2 of hoger. Bluetooth 4.2-apparaten werden naar verluidt eind 2014 geïmplementeerd, wat betekent dat de aanval theoretisch op de meeste moderne Bluetooth-apparaten zou moeten werken.

EURECOM heeft de aanvallen onderverdeeld in zes verschillende stijlen, met de afkorting BLUFFS als afkorting. Als onderdeel van het rapport presenteert EURECOM een tabel met de apparaten die ze met deze aanvallen konden spoofen en het succespercentage van elk van de zes typen.

De Bluetooth Special Interest Group (SIG), de non-profitorganisatie die toezicht houdt op de ontwikkeling van de standaard, erkende de bevindingen van EURECOM. In een beveiligingsbulletin adviseerde het agentschap fabrikanten die Bluetooth-technologie in hun producten implementeren om strikte beveiligingsprotocollen te volgen om te voorkomen dat deze aanval werkt. Het vermeldde echter niet of toekomstige versies van de verbinding de door EURECOM ontdekte kwetsbaarheid zouden verhelpen. De meest recente Bluetooth-standaard, v5.4, werd uitgebracht in februari 2023.