BLURtooth güvenlik açığı, milyonlarca Bluetooth cihazını riske atıyor

Yeni Bluetooth cihazlarının çoğu, yapılarında kullanılan basit güvenlik modeli sayesinde kolayca eşleştirilebilir. Bluetooth 4 standardı ve daha yeni versiyonlarda, güvenlik katmanları, cihazları bağlamayı çok daha kolay hale getiren daha basit bir yapıya sahiptir. Öte yandan, bu iletişim basitliği, bir siber suçlunun cihazınıza sızmasına ve sonuçta Bluetooth cihazlarının güvenliğini tehlikeye atmasına neden olabilir.

Bluetooth Sosyal İlgi Grubu, 2.4 ve 0.5 Bluetooth standartlarında yeni bir güvenlik açığını doğruladı. Güvenlik açığı, kablosuz ağdaki siber suçluların eşleştirilmiş cihaz anahtarını değiştirmesine ve aynı anahtarla eşleştirilmiş diğer Bluetooth cihazlarına erişim sağlamasına olanak tanır.

Yeni güvenlik açığı, Bluetooth 2.4 ve 0.5 ile donatılmış cihazları tehdit ediyor

Yeni Bluetooth güvenlik açığının keşfi, Purdue Üniversitesi ve Polycole Polytechnique Fédérale de Lausanne’daki iki ayrı güvenlik grubunun araştırmasının sonucudur. Yeni güvenlik açığı için BLURtooth adını seçtiler. Cross-Transport Key Derivation veya CTKD adı verilen bir süreç, güvenlik açıklarından yararlanmayı hedefliyor. CTKD işlemi, BLE ve BR / EDR standartlarına uygun olarak Bluetooth cihazlarının eşleştirilmesinde kimlik doğrulama anahtarlarını değiştirmek için kullanılır.

Bluetooth SIG Derneği, yeni güvenlik açığıyla ilgili ilk haberler yayınlandıktan sonra durumu daha ayrıntılı açıklamak için ipuçları verdi. Başlangıçta tüm standart 0.4 ila 0.5 Bluetooth bağlantılarının BLURtooth güvenlik açıklarından etkilendiğini söylediler. Yeni açıklama, tehdidin yalnızca 2,4 ve 0,5 Bluetooth bağlantılarını tehdit ettiğini söylüyor. Güvenlik açıklarından yararlanmak için, mağdur cihazının aynı anda hem LE hem de BR / EDR standartlarını desteklemesi gerekir. Güvenlik anahtarlarını cihazlar arasında taşıma desteği ve belirli bir şekilde eşleştirme anahtarları gibi diğer özellikler de kurban cihazda desteklenmelidir.

Bluetooth Core Specification 5.1 ve sonraki sürümlerinde BLURtooth güvenlik açığını gidermek için bir güvenlik paketi vardır. SIG Derneği, BLURtooth güvenlik açığına sahip cihazlar yapan üyelerden, cihazlarında mümkün olduğunca yeni değişiklikleri uygulamalarını istedi.

İlgili Makaleler:

Bluetooth güvenlik sorunu, çift modlu Bluetooth eşleşmesini destekleyen milyonlarca akıllı telefonu, tableti, dizüstü bilgisayarı ve IoT cihazını tehdit edebilir. Birçok cihaz, Man in the Middle veya MITM saldırılarına dirençli olmayan diğer cihazlarla eşleştirmek için Just Works adlı bir güvenlik modeli kullanır. Bu saldırılar aynı zamanda gizli dinleme için de kullanılıyor. Son olarak, siber suçlular, cihazların kolay eşleştirme yapısından yararlanabilir ve cihazınızı taklit ederek daha güçlü şifreleme kodlarına sahip diğer cihazlara erişim sağlayabilir.

Belirtildiği gibi, bir güvenlik açığından yararlanacak bir siber suçlu, aslında resmi Bluetooth özelliklerinden çok daha az olan kablosuz iletişim menzilinde olmalıdır. SIG Association, eski cihazlar için ürün yazılımı güncellemeleri sunmak için üreticilerle birlikte çalışıyor. Gelecekteki 1.5 standardının, Bluetooth güvenlik anahtarlarının değiştirilmesini imkansız kılan sınırlamaları da olacaktır. Genel olarak, Bluetooth güvenlik açıklarını belirleme süreci endişe vericidir. Bir yılda iki güvenlik açığı, kötüye kullanılması durumunda siber suçlunun kullanıcıyı bir akıllı telefon veya saat aracılığıyla izlemesine olanak tanıyan bir iletişim için korkutucu olacaktır.

Leave a Reply

Your email address will not be published. Required fields are marked *