Bluetooth protokolündeki bir hata milyonlarca cihazı savunmasız bıraktı

İsviçreli bir araştırma şirketi Bluetooth protokolüyle alakalı önemli bir güvenlik açığını ortaya çıkardı. Daha önce bağlanılan bir cihazın taklit edilmesini sağlayan bu güvenlik açığı cihazları saldırıya savunmasız bir hale getiriyor.

Kısa mesafeli radyo frekans teknolojisi olan Bluetooth özellikle internet erişimi olamayan ve kablosuz transferleri oldukça kolay bir hale getiriyor.

“İsviçreli bir araştırma kurumu olan Lozan Federal Teknoloji Enstitüsü” tarafından yapılan bir araştırma ise Bluetooth teknolojisinde çok önemli bir güvenlik açığı bulunduğunu gözler önüne seri. Söz konusu açığa  'Bluetooth Impersonation AttackS' (BIAS) ismini veren araştırmacıların ortaya çıkardığı açık cihazları oldukça savunmasız hale getiriyor.

Bluetooth teknolojisindeki açık cihazlarınızı riske atıyor

İki cihaz arasında kablosuz bağlantı sağlamak için Bluetooth cihazı eşleşme moduna girdiğinde, bu iki cihaz arasında uzun vadeli bir şifreleme anahtarı oluşur ve bu anahtar depolanır. Bu akıllı telefon kullanıcılarının daha önce eşleştikleri cihazlarla tekrar tekrar eşleşmek zorunda kalmamaları için geliştirilen bir yöntem olsa da, güvenlik açığı tam bu noktada ortaya çıkıyor. 'Bluetooth Impersonation AttackS', Basic Rate ve Enhanced Data Rate modlarını destekleyen Bluetooth Classic protokolüne odaklanıyor. 

CES 2020'de Bluetooth'un sahip olduğu yeni özellikler paylaşıldı

Güvenlik açığını kullanmak ise oldukça kolay. Bunun için saldırganların daha önce bağlandığınız ve “Güvenli” olarak belirlediğiniz bir cihazı taklit ederek cihazınıza erişim sağlayabiliyor. Buda saldırgan ve kullanıcı arasında uzun vadeli bir anahtar olabiliyor.

Karmaşık araçlara ihtiyaç duyulmayan bu gizli saldırı yöntemiyle bir hackerın akıllı saatinizi, cep telefonunuzu, kulaklığınızı ya da bilgisayarınızı ele geçirmesi oldukça kolay. Bunun için Raspberry Pi'den başka bir araca gerek olmaması da oldukça riskli. 28'den fazla Bluetooth yongasında bulunduğu aktarılan bu açıktan etkilenen yongalar arasında Apple, Cypress, Qualcomm, Intel, Samsung ve CSR’ın ürettiği yongalar da bulunuyor.

Geçtiğimiz sene Aralık ayında bu şirketleri durumdan haberdar ettiğini açıklayan enstitü, bazı üreticilerin bu sorun için geçici çözümler bulunduğunu ve güvenlik güncellemesi yayımladığını da belirtti.

Konu hakkında açıklama yapan Bluetooth protokolleri yöneticisi Bluetooth Special Interest Group (SIG) ise soruna karşı önlemlerin alınacağını açıklayarak arşılıklı kimlik doğrulama kurallarının güncelleneceğini ve güvenlik protokollerini sıkılaştıracağını belirti.

• Bluetooth'da tespit edilen açık Android kullanıcılarının verilerini riske atıyor!
• Araçlara Bluetooth özelliği ekleme yöntemleri
• Google Arama ile Bluetooth ve Wi-Fi açmak