Una vulnerabilitat en Bluetooth permet manipular les claus d'autenticació que aparellen dispositius

Una vulnerabilitat present en el component que configura les claus d'autenticació que permeten aparellar dos dispositius a través deBluetoothpermet alsciberatacantesaccedir a dispositius que suporten aquest estàndard de connectivitat mitjançant la manipulació d'aquestes claus.

Com alerten des de l'associacióBluetoothSIG, la vulnerabilitat es troba en el component Cross-TransportKeyDerivation(CTKD), el responsable de configurar les claus d'autenticació de dos dispositius per a aparellar-los entre si, a través de conjunts de claus per als estàndardsBluetoothLowEnergy(BLE)iBasicRate/*EnhancedDataRate(BR/*EDR).

Aquest component el que fa és que quan es volen aparellar dos dispositius, intercanvia informació d'un estàndard a un altre, i viceversa, així quan un dispositiu suporta els dos estàndards, l'usuari només ha d'aparellar un dels dos, i els dos quedaran aparellats de manera automàtica.

L'atac sobre el qual s'ha advertit, que ha estat denominatBLURtooth, permet als atacants, mitjançant la vulnerabilitat, manipular les claus d'autenticació, bé ja sigui sobreescrivint-les o fent-les menys segures, per a així obtenir accés a través deBluetootha un dispositiu amb capacitats compatibles amb aquest estàndard de connectivitat.

La vulnerabilitat és present enBluetooth4 i 5, ja que la versió 5.1 introdueix restriccions al componentCTKD. Des de l'associació recomanen als fabricants implementar aquestes restriccions a l'espera que hi hagi un pegat que el solucionis.