Bluetooth Special Interest Group, den organisation av leverantörer och andra intressenter som ligger bakom den trådlösa standarden, har publicerat information om en sårbarhet i handskakningsprotokollet som medför att en angripare kan skriva över autentiseringsnycklar på en Bluetooth-enhet och få tillgång till andra Blutetooth-kapabla appar och tjänster på samma enhet, skriver ZDNet.

Sårbarheten upptäcktes ursprungligen, och oberoende av varandra av akademiska forskare vid École Polytechnique Fédérale de Lausanne (EPFL) och Purdue University.

Skapar nycklar för autentisering

Mer specifikt är BLURtooth en sårbarhet i en komponent i standarden som kallas Cross-Transport Key Derivation (CTKD). Denna komponent används för att förhandla fram och skapa autentiseringsnycklar när två enheter ska paras ihop.

CTKD skapar två olika uppsättningar nycklar för Bluetooth Low Energy (BLE) och Basic Rate/Enhanced Data Rate (BR/EDR) och låter enheterna avgöra vilken version som ska användas och tillhandahålla nycklarna för ”dual mode”.

Attacker mot sårbarheten kan antingen skriva över en autentiseringsnyckel helt och hållet eller nedgradera den till en nyckel med svagare kryptering.

Senaste versionen kan stoppa attacker

BLURtooth påverkar alla enheter som implementerat Blueooth-protokollet i versionerna 4.0 och 5.0. Version 5.1 har funktioner som kan aktiveras för att förhindra attacker mot sårbarheten.

Någon uppdatering från Bluetooth SIG har inte presenterats ännu, och när den kommer är det snarare upp till leverantörerna av enheter och operativsystem att implementera uppdateringen i form av ny fast mjukvara och uppdateringar av operativsystem, vilket kan ta olika lång tid av förklarliga skäl.

Hur många enheter som är sårbara är oklart och svårt att avgöra. Användare av berörda enheter kan hålla utkik efter uppdateringar genom att följa notifieringar om sårbarheten genom webbsidan för CVE-koden CVE-2020-15802.

Läs också:
Forskare varnar för allvarlig sårbarhet i Bluetooth
Mystiskt fel skapade avbrott i 18 timmar på Länsförsäkringar