BrakTooth: falle nel Bluetooth minacciano milioni di dispositivi Android e Windows

07 Settembre 2021 13

BrakTooth è un nuovo gruppo di ben 16 vulnerabilità nel protocollo Bluetooth Classic (a differenza di quella del Bluetooth LE di quasi un anno fa) scoperto recentemente dai ricercatori di sicurezza di Asset Group. Diversi SoC e schede di molteplici produttori ben noti, come Intel, Qualcomm, TI, Infineon e Silicon Labs, sono afflitti da una o più vulnerabilità: in concreto riscontri sono stati trovati su laptop Microsoft Surface, computer desktop Dell e molti smartphone con Snapdragon.

QUANTO È DIFFUSO E COSA PUÒ FARE

Sono solo esempi di un bug che è molto diffuso e che potrebbe mettere a rischio un quantitativo enorme di computer e smartphone: i ricercatori dicono di aver analizzato le librerie software di solo 13 SoC di 11 produttori, ma Malwarebytes osserva che lo stesso identico firmware è molto probabilmente installato su oltre 1.400 chipset, tra cui anche dispositivi IoT, indossabili ed equipaggiamenti industriali. Trattandosi di una collezione di 16 vulnerabilità, i potenziali danni causati da un attacco variano da un dispositivo all'altro: nel calderone troviamo attacchi DoS, crash del firmware del dispositivo, disattivazione permanente del protocollo Bluetooth, ed esecuzione di codice non autorizzato.

QUANTO È RISCHIOSO

Serve dell'hardware specifico per condurre un attaco basato su BrakTooth: un kit di sviluppo ESP32. Tuttavia è molto facile da trovare sul mercato per una manciata di euro appena. Servono poi un firmware LMP (Link Manager Protocol) opportunamente modificato e un computer per eseguire l'hack. È naturalmente necessario essere nel raggio d'azione del dispositivo Bluetooth che cerca di colpire. Insomma: è più uno scenario da spionaggio e attacco a bersagli ben precisi che un rischio per le grandi masse, ma non è comunque da sottovalutare. Soprattutto la vulnerabilità classificata con il codice CVE-2021-28139, che appunto permette l'esecuzione di codice non autorizzato sul dispositivo vittima.

COME DIFENDERSI

Le vulnerabilità sono state notificate ai produttori diverso tempo fa - oltre 90 giorni; tuttavia, ad oggi solo alcuni (Espressif Systems, Infineon e Bluetrum) hanno messo in circolazione delle patch risolutive. In altri casi sono in corso le indagini, in altri ancora è già stato confermato che una patch è in sviluppo, in altri ancora il produttore ha già comunicato che non intende correggere. In concreto, a noi utenti non resta che aspettare la distribuzione della patch via i classici canali - Windows Update o OTA, per esempio. Nel frattempo, Malwarebytes osserva che l'unico modo per essere al sicuro è disabilitare il Bluetooth, soprattutto quando ci si trova in ambienti non sicuri.



13

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Pistacchio
PilloPallo

Spy game

Onecool

Scusa l’ignoranza Se il Bluetooth è accesso ma non in icona blu nella centro di controllo va bene lo stesso? Come faccio a sapere se sta connesso in Bluetooth o in wifi? Grazie.

Aster

ma no parliamo di gente che vota quelli che hanno audemars piguet:)e comprano rolex e apple watch

Luca Lindholm

Eh no, il Rolex è mainstream… ora c’è l’Audemars Piguet come marca chic.

Luca Lindholm

E ora quei dispositivi sono braccati.

Aster

devono mangiare tutti non solo apple,se no rolex e amici finiscono sul lastrico

TheRealTommy

appena? tra me e la mia ragazza siamo già a 85

Aster

non lo metto in dubbio,solo io ne ho presi una decina.

TheRealTommy

per fortuna che è l'indossabile più venduto.

Aster

mai provato aggeggio piu inutile (per quello che costa)

TheRealTommy

Sempre on altrimenti l'Apple Watch va in Wifi e consuma un sacco.

Aster

sempre off.

Samsung One UI 4 con Android 12: vi mostriamo la beta per i Galaxy S21 | VIDEO

La street photography con lo smartphone: 5 consigli utili | Video

Xiaomi 11T ufficiale con Pro, 11 Lite NE e Pad 5. PREZZI e disponibilità Italia

Recensione Oppo Reno 6 Pro 5G: tanta potenza, piccolo restyling