بلوٹوتھ کی کمزوری اربوں آلات کو خطرے میں ڈالتی ہے۔

اینڈرائیڈ اتھارٹی کے مطابق، ایکسپلائٹ پوسٹ دو ڈیوائسز کے درمیان بلوٹوتھ انکرپشن کیز کو زبردستی کرنے کا نسبتاً آسان طریقہ دکھاتی ہے۔ اگر کامیاب ہو جاتا ہے، تو حملہ آور آلہ کی نقالی کر سکتا ہے اور حساس ڈیٹا تک رسائی حاصل کر سکتا ہے۔

یہ استحصال کم از کم جزوی طور پر بلوٹوتھ 4.2 یا اس کے بعد کے کسی بھی ڈیوائس پر کام کرتا دکھائی دیتا ہے۔ بلوٹوتھ 4.2 کو سپورٹ کرنے والے آلات مبینہ طور پر 2014 کے آخر میں تعینات کیے گئے تھے، یعنی حملے کو نظریاتی طور پر زیادہ تر جدید بلوٹوتھ ڈیوائسز پر کام کرنا چاہیے۔

EURECOM نے حملوں کو چھ مختلف شیلیوں میں تقسیم کیا ہے، جس کا مخفف BLUFFS ان سب کا احاطہ کرنے کے لیے استعمال ہوتا ہے۔ رپورٹ کے حصے کے طور پر، EURECOM نے ان آلات کا ایک جدول پیش کیا ہے جو وہ ان حملوں کا استعمال کرتے ہوئے جعل سازی کرنے کے قابل تھے اور چھ اقسام میں سے ہر ایک کے لیے کامیابی کی سطح۔

بلوٹوتھ اسپیشل انٹرسٹ گروپ (SIG)، غیر منافع بخش ادارہ جو معیار کی ترقی کی نگرانی کرتا ہے، نے EURECOM کے نتائج کو تسلیم کیا۔ ایک سیکیورٹی بلیٹن میں، ایجنسی نے سفارش کی ہے کہ اپنی مصنوعات میں بلوٹوتھ ٹیکنالوجی کو نافذ کرنے والے مینوفیکچررز اس حملے کو کام کرنے سے روکنے کے لیے سخت حفاظتی پروٹوکول پر عمل کریں۔ تاہم، اس نے یہ ذکر نہیں کیا کہ آیا کنکشن کے مستقبل کے ورژن EURECOM کی دریافت کردہ کمزوری کو ختم کر دیں گے۔ تازہ ترین بلوٹوتھ معیار v5.4 ہے، جو فروری 2023 میں جاری کیا گیا تھا۔