V protokolu Bluetooth se objevila bezpečnostní chyba, která za jistých okolností umožňuje případným útočníkům sledovat a rozpoznat zařízení od Applu a Microsoftu. Zprávu o tom přinesl nejnovější průzkum bostonské univerzity.
Co se zařízení od Applu týče, v potenciálním ohrožení jsou Macy, iPhony, iPady i Apple Watch. U Microsoftu zase tablety a laptopy. Zařízení s operačním systémem Android nebyla podle zprávy zasažena.
Zařízení s Bluetooth konektivitou využívají k ohlášení své přítomnosti jiným zařízením veřejné kanály. V rámci prevence sledování vysílá většina zařízení namísto MAC adresy náhodné adresy, které se pravidelně mění. Podle autorů studie je ale možné za pomoci algoritmu extrahovat identifikační tokeny umožňující sledování zařízení.
Algoritmus nevyžaduje dešifrování zpráv a ani nijak nenarušuje zabezpečení Bluetooth, protože je založen výhradně na veřejné a nešifrované komunikaci. Za pomoci popsané metody je možné odhalit identitu zařízení, nepřetržitě jej sledovat a v případě iOS lze navíc sledovat uživatelovo aktivitu.
Zařízení s iOS a macOS mají dva identifikační tokeny, které se v různých intervalech mění. Hodnoty tokenů se v mnoha případech synchronizují s adresami. V některých případech nicméně nedojde ke změně tokenu v tu samou chvíli, což algoritmu přenesení umožňuje identifikovat příští náhodnou adresu.
Telefony a tabely s Androidem nevyužívají stejný přístup jako zařízení od Applu či Microsoftu a jsou proto vůči zmíněným metodám sledování imunní. V tuto chvíli není jasné, zda už k nějakému útoku prostřednictvím Bluetooth došlo.
Součástí zprávy o výzkumu bostonské univerzity je hned několik doporučení, jak se před zranitelností ochránit. Dá se také předpokládat, že Apple prostřednictvím softwarové aktualizace brzy zavede potřebná bezpečnostní opatření.
Zdroj: ZDNet, petsymposium [PDF]
Roztrhl se pytel s tzv. chybama – mohl bych poprosit někoho aby mě heknul a předvedl důkaz reálného prolomení a ne jen v teoretické rovině že to jde (ale reálně to zvládne 5 lidí na světě)