Oltre 5 miliardi di dispositivi che montano tecnologia bluetooth sono vulnerabili: avete letto bene, questo a causa della scoperta di 8 vulnerabilità (chiamate unitamente BlueBorne) che interessano tutti i dispositivi ove è implementata la tecnologia bluetooth, partendo dagli smartphone finendo con dispositivi IoT o automobili.
Ricercatori dei laboratori di sicurezza IoT “Armis” hanno individuato queste vulnerabilità che permettono ad un attaccante di prendere il controllo del device e di eseguire codice maligno oppure di intercettare le comunicazioni bluetooth tramite un attacco Man-in-the-Middle.
Le vulnerabilità possono esser sfruttate anche tramite un Worm che si può propagare a tutti gli altri dispositivi bluetooth nelle vicinanze, potendo quindi essere potenzialmente devastante.
Le vulnerabilità indicate non risiedono a livello di protocollo bensì a livello di implementazione, cosa che esclude i vari livelli di autenticazione.
Apple, Google, Microsoft e la community Linux sono state avvisate del problema e già nella giornata di oggi comincerà il rilascio di patch correttive, comunque quasi 2 miliardi di dispositivi arrivati a fine supporto NON riceveranno alcun aggiornamento.
Tutti i dispositivi Android, esclusi quelli che usano la tecnologia Bluetooth Low Energy soffrono di queste vulnerabilità, gli smartphone con Windows Phone non sono toccati, i notebook da Windows Vista in poi invece saranno aggiornati a brevissimo tempo sono già stati aggiornati silenziosamente da Microsoft con gli aggiornamenti di Luglio, solo oggi sono stati resi noti ulteriori dettagli l’aggiornamento CVE-2017-8628.
Per i dispositivi Apple il problema è stato corretto con il rilascio della versione 10 (sono vulnerabili fino alla versione 9.3.5), riguardo il mondo Linux saranno rilasciati aggiornamenti correttivi, speriamo che riceva lo stesso trattamento il sistema Samsung Tizen montato in migliaia di smart TV le quali soffrono dello stesso problema.
Per ora quindi è fortemente consigliato disabilitare il bluetooth; a breve verrà rilasciata un app nel Play Store chiamata BlueBorn che verificherà se il nostro dispositivo Android è vulnerabile.
Approfondimenti: BlueBorne Technical Paper Success
Fonte: BleepingComputer.com