Recentemente, duas falhas de segurança do Bluetooth foram descobertas, abrindo caminho para que invasores sequestrem conexões em dispositivos que utilizam Bluetooth 4.2 a 5.4, o que inclui praticamente todos os dispositivos desde o final de 2014 até agora. A vulnerabilidade afeta não apenas iPhones, iPads e Macs, mas todos os dispositivos que adotam essa tecnologia.
Esses ataques, denominados BLUFFS, permitem representações fraudulentas de dispositivos e ataques man-in-the-middle (MitM). Os pesquisadores da Eurecom identificaram seis explorações distintas, todas visando quebrar o sigilo das sessões Bluetooth.
A falha reside na forma como as chaves de sessão são derivadas, possibilitando a exploração de quatro vulnerabilidades no processo de derivação, duas das quais são novas. Nesse método, um hacker pode se fingir passar por um dos aparelhos interconectados, e então enviar chaves de sessão curtas e previsíveis, para então dominar a conexão.
Como se proteger?
Não há solução imediata para os usuários, pois a responsabilidade recai sobre os fabricantes para alterar a implementação da segurança Bluetooth, abandonando modos menos seguros usados para se comunicar com dispositivos mais antigos. Não está claro se patches podem ser aplicados a dispositivos existentes.
Enquanto isso, especialistas recomendam desativar o Bluetooth quando não estiver em uso, especialmente em locais públicos, e ter cautela ao compartilhar informações sensíveis por meio dessa conexão. A situação destaca a importância de medidas preventivas até que soluções mais abrangentes sejam implementadas.
