^

Luka w protokole parowania Bluetooth. iOS i macOS już bezpieczne

Jaromir Kopp

27 lipca 2018

23 lipca CERT wydał notę CVE-2018-5383 ostrzegającą o braku odpowiedniej weryfikacji kluczy podczas procesu parowania urządzeń Bluetooth. Umożliwia to ataki typu man-in-the-middle.

W czym tkwi problem?

Komunikat CERT opisuje podatność w taki sposób:

Sterowniki oprogramowania wbudowanego Bluetooth lub sterowniki systemu operacyjnego mogą nie weryfikować w wystarczającym stopniu parametrów krzywej eliptycznej wykorzystywanej do generowania kluczy publicznych podczas ich wymiany Diffie-Hellman, co może umożliwić osobie atakującej zdalnie uzyskanie klucza szyfrowania używanego przez urządzenie.

Tyle fachowcy. Po naszemu chodzi o to, że systemy i urządzenia Bluetooth, również LE, nie dość dokładnie sprawdzają klucze służące do szyfrowania transmisji. Podczas parowania urządzeń te klucze są pomiędzy nimi wymieniane, aby dalsza część komunikacji była już bezpiecznie szyfrowana. Niestety błąd powoduje, że atakujący może podsłuchać transmisję podczas parowania i użyć tych samych kluczy to odszyfrowania i „retransmisji” danych. Z racji niewielkiego zasięgu Bluetooth oraz niezbyt częstego procesu parowania, ryzyko wydaje się niezbyt wielkie dla typowego użytkownika. Jednak za pomocą Bluetooth komunikują się również urządzenia mocno związane z bezpieczeństwem jak np. zamki elektroniczne do drzwi, Apple Watch, sensory zdrowotne i alarmowe, urządzenia HomeKit. Dlatego ryzyka nie należy bagatelizować.

Apple już załatało

Łatka dla iOS i macOS w tym tak archaicznych, jak El Capitan została wydana już 9 lipca. Można o tym przeczytać na stronie CERT.
Żródło: macobserver.com

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (1)
L

1 komentarz

  1. Seba

    Jeżeli na jakiś syset jest wydana łatka to nie jest archaiczny.
    Archaiczna to może byc Dziewiątka

    Odpowiedz

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *