Bluetooth נמצא כמעט בכל גאדג'ט מודרני, ולכן יש להתייחס ברצינות רבה לפגם החדש שהתגלה בפרוטוקול התקשורת.
כפי שפורסם ב- ZDNet לראשונה, דיוויד סטארובינסקי ויוהנס בקר מאוניברסיטת בוסטון תיארו במאמר מחקר כיצד ניתן לעקוב אחר סמארטפונים, מחשבים ניידים ולבישים באמצעות ניצול בטכנולוגיית בלוטות '.
על פי המסמך, קיים פגם בכתובות ה- MAC האקראיות המשתנות ללא הרף שנועדו לשמור על התקני Bluetooth שלא יהיו במעקב. גישה אבטחה זו יכולה לשחק בידיו של שחקן גרוע, ולאפשר להם לא רק לעקוב אחר מכשיר אלא גם להשיג מידע על זהותו וכן על פעילות המשתמשים.
בלב פגם ה- Bluetooth הזה נמצאת בעיה שבה זיהוי אסימונים וכתובות MAC אקראיות אינם משתנים בסנכרון, מה שמאפשר לחוקרי בוסטון יוניברסיטי לכנות "אלגוריתם העברת כתובות" כדי לעקוב אחר מכשיר באופן רציף באמצעות פסאודו משני. זהות."
"האלגוריתם העברת כתובות מנצל את האופי הא-סינכרוני של כתובת ושינוי מטען, ומשתמש באסימונים מזהים ללא שינוי במטען כדי לעקוב אחר כתובת אקראית חדשה חזרה למכשיר ידוע", נכתב בעיתון. "בכך אלגוריתם העברת הכתובות מנטרל את מטרת האנונימיות בערוצי שידור שנועדו באמצעות אקראי כתובות תכופות".
עוד: פגיעות חדשה ב- Windows 10 עשויה לאפשר להאקרים לקבל גישה מלאה …
אולי המפחיד ביותר הוא שאלגוריתם זה אינו מבצע פענוח ומבוסס לחלוטין על תעבורת פרסום ציבורית ולא מוצפנת, על פי העיתון. חשוב גם שהניצול נבדק על פי מפרט ה- Bluetooth בעל אנרגיה נמוכה (BLE), הנמצא בתקן ה- Bluetooth 5 העדכני ביותר.
הניצול עובד כביכול במכשירי Windows 10, iOS ו- macOS, הכולל מכשירי iPhone, התקני Surface ו- MacBooks. מכשירי אנדרואיד מפרסמים את התעבורה שלהם בצורה שונה לחלוטין (על ידי סריקה לפרסום סמוך; אין מעקב פעיל ורציף) והם חסינים מפני הפגיעות.
חוקרים שגילו את פגם ה- Bluetooth ציינו מספר כללים שיכולים להגן על מכשירים מושפעים, שעיקרם הוא לסנכרן כל שינוי במידע מעקב עם שינויים בכתובת ה- MAC של המכשיר. הפעלה וכיבוי של Bluetooth במכשירי iOS ו- macOS (מצטערים משתמשי Windows, זה לא יעזור לך) היא פתרון זמני, אך על היצרנים לדרוש פתרון קבוע יותר. עם זאת, ניצול Bluetooth נחשף לראשונה בפני מיקרוסופט ואפל בנובמבר 2022-2023-2022, מה שמרמז שהוא אינו בעדיפות גבוהה עבור אותן חברות.
"ככל שהאימוץ של Bluetooth צפוי לצמוח בין 4.2 ל -5.2 מיליארד מכשירים בין השנים 2022-2023 ו -2022, כאשר יותר מחצי מיליארד ביניהם לבישים והתקנים מחוברים אחרים הממוקדים בנתונים, ומקימים שיטות עמידות למעקב, במיוחד בערוצי תקשורת לא מוצפנים. חשיבות עליונה ", נכתב בעיתון.
למרות שלא נצפו מקרים ידועים, החוקרים מזהירים כי אם הפגיעות של BLE תישאר ללא בדיקה, יריבים יכולים בסופו של דבר לשלב עסקאות רכישה, זיהוי פנים ומידע רגיש אחר עם נתוני מעקב ליצירת פרופיל של משתמש חשוף.
- האנטי וירוס הטוב ביותר - התוכנה המובילה למחשב, Mac ו- Android
