Vulnerabilità Bluetooth svela la posizione

Una vulnerabilità scoperta dai ricercatori della Boston University consente di identificare i device Bluetooth e di tracciare la posizione degli utenti.
Vulnerabilità Bluetooth svela la posizione
Una vulnerabilità scoperta dai ricercatori della Boston University consente di identificare i device Bluetooth e di tracciare la posizione degli utenti.

Un team di ricercatori della Boston University ha scoperto una grave vulnerabilità nell’implementazione del protocollo Bluetooth che permette di tracciare la posizione dei dispositivi e quindi dell’utente. Il problema di sicurezza è quindi anche un problema di privacy perché potrebbe essere sfruttato per varie attività, tra cui lo stalking. Sono interessati tutti i sistemi operativi più diffusi, ad eccezione di Android.

La vulnerabilità è dovuta al modo in cui i dispositivi Bluetooth comunicano tra loro per stabilire una connessione. Prima dell’inizio della trasmissione dei dati deve essere stabilito quale dei due device svolge un ruolo centrale (ad esempio lo smartphone), mentre l’altro un ruolo periferico (ad esempio gli auricolari). Dopo aver stabilito la gerarchia, il dispositivo centrale inizia la ricerca dei segnali inviati dal dispositivo periferico. Questi segnali (non cifrati) includono un indirizzo e un payload con alcuni dati necessari per la connessione.

Molti dispositivi usano un indirizzo casuale che viene modificato periodicamente per proteggere la privacy degli utenti, ma i ricercatori hanno scoperto che il device può essere tracciato lo stesso. Ciò accade perché la variazione del payload non avviene in sincrono con quella dell’indirizzo, ottenendo quindi un pattern identificabile. Per verificare la scoperta, i ricercatori hanno utilizzato una versione custom di un algoritmo “sniffer” open source.

La tecnica funziona con Windows, macOS e iOS, ma non con Android. Il sistema operativo Google non invia dati che permettono di identificare il dispositivo. I ricercatori hanno notato che alcuni indossabili, come quelli di Fitbit, non usano un indirizzo casuale (nemmeno dopo un riavvio), quindi il loro tracciamento è ancora più semplice.

La vulnerabilità non può essere sfruttata per rubare dati personali, ma potrebbe consentire la creazione di una botnet di dispositivi IoT e il tracciamento continuo della posizione dell’utente. I ricercatori sottolineano tuttavia che i rischi sono limitati, visto che ci sono altri modi per ottenere lo stesso risultato, con o senza Bluetooth.

Ti consigliamo anche

Link copiato negli appunti