Standard Bluetooth, a to i v jeho nedávném vývoji Bluetooth Low Energy (BLE), pokračujte získat prostor na velkém množství zařízení. Mezi mnoha komunikačními standardy pro propojení dvou zařízení se totiž Bluetooth prosadil pro svou velkou jednoduchost použití a pro možnosti, které poskytuje samotný standard, propojit prakticky vše se vším.
Ale tato flexibilita skrývá velká rizika kvůli bezpečnosti, paradoxně kvůli tomu, že kvůli snadnému použití je Bluetooth obtížné implementovat. Nebo spíše „komplexní“. A komplexem myslíme, že např oficiální dokument popisující standard Bluetooth má 3000 stran protože postupem času sdružení výrobců zařízení, které to spravuje, tzv Bluetooth Special Interest Group (SGI), přidána kapitola po kapitole, aby se Bluetooth mohlo stát univerzálním. Což se skutečně stalo, ale když se podíváme na další univerzální bezdrátový komunikační standard, Wi-Fi, zjistíme, že jeho uživatelská příručka je desetkrát kratší.
Tady jsou hlavní bezpečnostní problémy Bluetooth a jak se jim snažit vyhnout.
Problém univerzality
Nyní se používá Bluetooth na miliardách zařízení všech typůz PC do fitness kapelaprostřednictvím chytrých telefonů, tabletů, připojených aut a chytrých objektů proInternet věcí (IoT). V roce 2017 objevila kybernetická bezpečnostní společnost Armis takzvanou zranitelnost“BlueBorne“, která se týkala zařízení s připojením Bluetooth a operačními systémy Android, iOS, Linux a Windows.
Armis provedl výpočet potenciálně napadnutelná zařízení zneužili tuto zranitelnost a zjistili, že ano 8,2 miliardy (v roce 2017, dnes by jich bylo mnohem více). Je tedy jasné, že bezpečnostní problém číslo jedna u Bluetooth je fakt, že svět je plný Bluetooth zařízení. A každý z nich je potenciálně napadnutelný.
Problém snadnosti použití
Další věc, která jde proti zabezpečení standardu Bluetooth, je jeho snadné použití uživateli. Po zapnutí spojení na dvou zařízeních je stačí přiblížit a stisknout tlačítko: od té chvíle, dokud jsou v dosahu jeden druhého nebo je spojení vypnuté, zůstanou spolu v komunikaci. Časové okno užitečné pro hackera k hacknutí zařízení se tedy znásobínapříklad začínající od druhého přístrojjiž infikovaný, ke kterému byl přes Bluetooth spárován konečný cíl.
Problém umocněný rozšířením Bluetooth LE, což je „odlehčená“ a nízkoenergetická verze pro zařízení s nízkoenergetickým hardwarem. Tak nízké, že nezvládne dostatečně robustní bezpečnostní systémy. A vlastně i v těch posledních měsíců výrazně vzrostl počet pokusů o útok na zařízení BLE více než počet pokusů o útok na zařízení připojená pomocí „normálního“ Bluetooth.
Problém šifrování
Pro zabezpečení dvou zařízení, která spolu komunikují bezdrátově, je to nutné použít silné šifrování pro bezdrátový přenos. Na třech tisících stránkách standardu Bluetooth se dočteme, že je možné využít čtyři úrovně zabezpečení a tři režimy připojení. První úroveň zabezpečení neposkytuje žádné šifrování, druhá poskytuje 128bitové šifrování AES během komunikace pouze v případě, že zařízení nejsou spárována (tj. Přenosnapříklad když hledáte zařízení v okolí, ke kterým byste se mohli „zavěsit“, třetí to vyžaduje, i když jsou spárována, čtvrtý poskytuje robustnější šifrování: 256bitové AES.
Pokud jde o způsoby připojení, první nezajišťuje žádný bezpečnostní podpis, druhý zajišťuje podepisování dat ve spřažené i nespojené komunikaci, třetí je „smíšený“, který se používá k tomu, aby zařízení využívající první a druhý režim komunikovala. Vzhledem k tomu všemu je jasné, že je možné dejte do prodeje certifikovaná Bluetooth zařízení s vynikajícím ochranným systémem (například s vždy aktivním 256bitovým šifrováním AES), stejně jako zcela nezabezpečená zařízení (bez jakéhokoli typu šifrování). Oba budou mít označení Bluetooth, a proto je uživatel bude mít tendenci považovat je za ekvivalentní, aniž by se zajímal o to, zda se jedná o bezpečná zařízení nebo ne.
V únoru 2019 to například objevila známá kyberbezpečnostní společnost McAfee vážný bezpečnostní problém v chytrém zámku BoxLockkterý odemyká a zamyká přímo skrz Bluetooth Low Energy. Zařízení bylo navrženo pro použití konfigurace BLE s názvem “Jen Works Mode“ (tj. první z výše popsaných způsobů připojení), který umožňuje párování zařízení bez hesel nebo jiné kryptografické ochrany. Výsledkem bylo, že se výzkumníci společnosti McAfee mohli připojit k jakémukoli visacímu zámku této značky, analyzovat příkazy BLE zařízení a sledovat, kdo dal příkaz k odemknutí. Tedy chytrý telefon uživatele. dále BoxLock nakonfiguroval tento příkaz tak, aby byl v režimu čtení a zápisu, takže jakmile útočníci věděli, na co se zaměřit, mohli provést odemknutí. BoxLock pouze opravila zranitelnosti poté, co je objevil McAfee.
Jak zabezpečit Bluetooth
Ve světle toho, co bylo právě popsáno, a rozsáhlosti a složitosti standardu Bluetooth je proto první rada, kterou je třeba mít na paměti, abyste při používání tohoto typu připojení neriskovali. být velmi opatrní, když kupujeme zařízení: nemůžeme považovat za samozřejmé, že je bezpečný, musíme se před jeho nákupem dobře informovat a zkontrolovat režim kryptografického připojení, který podporuje. Vzhledem k tomu, že hardwarové bezpečnostní klíče stále více využívají připojení Bluetooth, musíme být při nákupu těchto zařízení ještě opatrnější, abychom je mohli použít jako druhý ověřovací faktor pro naše online účty. Obecně však platí, měli bychom také omezit používání připojení Bluetooth na dobu, kdy je skutečně potřebavypnutím, když není potřeba propojit dvě zařízení.
Pak na standardu je ještě hodně práce, ale to je na Bluetooth SIG. Asociace říká, že zvažuje další generaci zdrojů pro vývojáře, včetně možnosti vytvoření nástroje bezpečnostního auditu, který mohou programátoři použít k ověření svých implementací Bluetooth, než je uvedou na trh. SIG také pracuje na lepší práci při zveřejňování existujících zdrojů o nejbezpečnější implementaci standardu, aby pomohla vývojářům orientovat se na těch nechvalně známých třech tisících stránkách.
Od společnosti Cultur-e