Het gaat nogal eens mis met Bluetooth, het systeem waarmee je draadloos je elektronische apparatuur kunt koppelen. Nu schijnt het dus weer mis te zijn. Veiligheidsonderzoekers schijnen nieuwe (?) kwetsbaarheden in Bluetooth ontdekt te hebben. Dan maakt het niet uit over welk apparaat je het hebt.
Het ging weer eens fout in februari fout toen de draadloze verbinding van Androidtelefoons kwetsbaar bleek. Nu gaat het echter om alle elektronische apparaten die een Bluetoothverbinding hebben, dus niet alleen computers en telefoons maar, bijvoorbeeld, ook geluidsapparatuur. Onderzoekers van de polytechische hogeschool in Lausanne (EPFL) ontdekten nu een kwetsbaarheid die het de aanvaller mogelijk maakt zich voor te doen als een verbonden apparaat.
Als twee apparaten voor de eerste keer verbinding krijgen via Bluetooth dan wisselen ze een lange cijfercode uit. Die wordt opgeslagen. Een aanvaller kan zich voordoen als dat al verbonden apparaat. Helemaal aan het begin van het koppelproces kan hijzij, om te voorkomen dat de cijfercode al wordt verstrekt, de rollen omdraaien en zich voordoen als het hoofdapparaat, waardoor hijzij kan aankoppelen zonder authenticatie.
BIAS
De aanvaller kan zich voordoen als koptelefoon of een internethorloge. Als hijzij eenmaal verbonden/gekoppeld is dan heeft de aanvaller het voor het uitzoeken. De EPFL-onderzoekers hebben de aanval BIAS gedoopt: Bluetooth impersonation attacks.
De organisatie die Bluetooth onderhoudt zegt dat in de nieuwe versie de kwetsbaarheid (-heden?) zal zijn verdwenen. Ook de fabrikanten van de apparatuur die met Bluetooth werken zullen hun firmware moeten aanpassen. Het is onduidelijk of de kwetsbaarheid al misbruikt is. Om te voorkomen dat dat gebeurt is het het handigst voorlopig Bluetooth niet meer te gebruiken. Overigens is het niet heel eenvoudig om misbruik van de kwetsbaarheid te maken. De aanvaller moet een slachtoffer op het oog hebben en bij hemhaar in de buurt zijn. Anders werkt het natuurlijk niet.
Bron: Futura-Sciences