Carneige Mellon Üniversitesi’ndeki araştırmacılar, standartta yeni bir güvenlik açığı keşfetti: risk altındaki kalabalık yerlerde Bluetooth kullanımı
Bluetooth ne kadar güvenli?
Teoride çok ama pratikte o kadar değil. Dünyanın dört bir yanındaki milyonlarca kullanıcı Bluetooth bağlantısını iki cihazı bağlamak veya dosya aktarmak için kullansa da, bunun güvenli ve güvenilir bir standart olduğunu düşündükleri için, görünüşe göre buna körü körüne güvenmek için çok fazla sebepleri yok.
Carneige Mellon Üniversitesi’nden araştırmacılar tarafından keşfedilen ve ayrıca resmi Bluetooth standardını geliştiren konsorsiyum olan Bluetooth Özel İlgi Grubu (BSIG) tarafından onaylanan yeni bir güvenlik açığı ile kanıtlanmıştır. Bu güvenlik açığı “BLURtooth” olarak adlandırılmıştır ve “Cihazları eşleştirme” işlemi, yani cihazları birbirleriyle iletişim kurmaları için eşleştirme aşamasıyla ilgilidir. Güvenlik açığı, iki cihazı eşleştirirken kimlik doğrulama anahtarlarının görüşülmesi ve ayarlanması için kullanılan Bluetooth standardının bir protokolü olan Çapraz Aktarım Anahtarını Türetmeyi (CTKD) etkiler. Elektronik güvenlik konusunda en bilgili kişi, BLURtooth’tan kaynaklanan riskin “ortadaki adam” saldırısı olduğunu tahmin etmiş olacaktır.
Neyi Riske Atıyorsunuz?
Özetle, eğer bir bilgisayar korsanı BLURtooth güvenlik açığından nasıl yararlanılacağını bilirse, Bluetooth aracılığıyla bağladığımız iki cihaz arasına girebilir ve iki cihaz arasında değiş tokuş edilen verileri okuyabilir. Ancak sadece bu değil: aynı zamanda güvenlik anahtarlarını yeniden yazabilir ve sonuç olarak akıllı telefonuna takılı bir cihazı ilişkilendirebilir ve böylece takılı cihaza neredeyse serbestçe erişim sağlayabilir.
Neyse ki, tüm bunlar yalnızca cihazları bağlarken mümkündür ve bu, bilgisayar korsanının saldırmak istediği akıllı telefonlara fiziksel olarak yakın (pratik olarak Bluetooth telsizinin kapsama alanı içinde) olması gerektiği anlamına gelir. Son olarak, yalnızca 4.0 ila 5.0 sürümlerinde Bluetooth bulunan cihazlar BLURtooth’a karşı savunmasızken, Bluetooth 5.1 güvenlidir.
BLURtooth ile ilgili asıl sorun, düzeltmek için henüz bir yama olmaması ve varsa, savunmasız cihazların bir ürün yazılımı güncellemesi yoluyla uygulanması gerekmesidir. Diğer Bluetooth güvenlik açıkları keşfedildiğinde geçmişte olmadığı için bu hızlı bir şey değildir.
Bununla birlikte, dünya çapında Bluetooth bağlantısı olan milyonlarca cihaz savunmasızdır ve bunun için Bluetooth Özel İlgi Grubu, yalnızca kendi sahiplerine ihtiyatı önerebilir: dışarıdayken Bluetooth bağlantısını açık tutmaktan kaçının, Birinin BLURtooth’u istismar etme olasılığının daha yüksek olduğu çok kalabalık bir halka açık yerde Bluetooth’unuzu kapalı tutun.
