Akademik araştırma kurumu Eurecom Bluetooth kablosuz standardında, bir tehdit aracısının cihazların kimliğine bürünmesine ve kurulum yapmasına olanak verebilecek güvenlik açıkları keşfetti. ortadaki adam saldırılar. Delikler, mevcut 5.4 sürümü ve Apple'ın mevcut donanım serisinde kullanılan 5.3 sürümü de dahil olmak üzere Bluetooth protokolünün çeşitli sürümlerinde bulunuyor.
Eurecom, keşfedilen Bluetooth zayıflıklarından yararlanan "Bluetooth İleri ve Gelecek Gizliliği" (BLuffS) adı verilen bir dizi saldırı geliştirdi. Bir göre Araştırma kağıdı Eurecom'dan Daniele Antonioli, "Saldırılar, Bluetooth standardında tek taraflı ve tekrarlanabilir oturum anahtarı türetmeye ilişkin ortaya çıkardığımız iki yeni güvenlik açığından yararlanıyor."
Antonioli şöyle yazdı: "Saldırılarımızın Bluetooth ekosistemi üzerinde kritik ve geniş ölçekli bir etkiye sahip olduğunu, bunları şu şekilde değerlendirerek gösteriyoruz: Popüler donanım ve yazılım satıcılarından temin edilen ve en popüler Bluetooth'u destekleyen 17 farklı Bluetooth çipi (18 cihaz) versiyonları.”
BLuffS saldırılarını gerçekleştirmek için bir tehdit aracısının hedefin cihazlarının menzilinde olması gerekir. BLuffS, Bluetooth oturum anahtarı türetme sürecinde bir saldırganın cihazlardan biriymiş gibi davranmak için kullanabileceği dört kusurdan yararlanır.
Antonioli, geliştiricilere güvenlik açıklarının nasıl düzeltilebileceği konusunda yön veriyor. "Saldırılarımızı ve bunların temel nedenlerini tasarım gereği durduran gelişmiş bir Bluetooth oturum anahtarı türetme işlevi öneriyoruz. Karşı önlemimiz Bluetooth standardıyla geriye dönük olarak uyumludur ve minimum masrafa neden olur."
Kendinizi nasıl korursunuz?
BLuffS'un bir araştırma projesinin parçası olduğu göz önüne alındığında, kullanıcıların vahşi doğada kullanılması konusunda endişelenmelerine gerek yok. Ancak Eurecom, Bluetooth'ta bir süredir var olan kusurları ortaya çıkardı. Bluetooth Özel İlgi Grubu Bluetooth standardının gelişimini denetlemekten sorumludur ve bu açıkları gidermesi gerekecektir.
Apple ise bu sorunlardan bazılarını işletim sistemi yamalarıyla çözebilir. Bu nedenle işletim sistemi güncellemelerini mümkün olan en kısa sürede yüklemek önemlidir. BLuffS ile ilgili güvenlik açıkları, Ulusal Güvenlik Açığı Veritabanına şu şekilde kaydedilmiştir: CVE-2023-24023; Apple bunun için yama yayınlarsa/yayınladığında, şirket bunları kendi dosyasına kaydetmelidir. güvenlik bültenleri belgesi.
Proaktif bir yaklaşım sergilemek isteyen kullanıcılar Bluetooth'u kullanılmadığı zamanlarda kapatabilir. Bu, Kontrol Merkezi aracılığıyla iPhone, iPad ve Mac'te hızlı bir şekilde yapılabilir.