BIAS, una nueva vulnerabilidad en Bluetooth que afecta a todos los dispositivos no actualizados recientemente

Una brecha de seguridad en la tecnología Bluetooth permite a un atacante suplantar la identidad de otro dispositivo con el que el usuario busca inicialmente conectarse. Se trata de una vulnerabilidad que afecta a prácticamente todos los dispositivos con tecnología Bluetooth que no hayan sido actualizados recientemente. Si bien por si sola esta vulnerabilidad no es tan grave, combinada con otros ataques puede permitir a terceros un control mucho mayor del dispositivo de la víctima.


La vulnerabilidad fue descubierta por un equipo de investigadores de la École Polytechnique Fédérale de Lausanne (EPFL) en Suiza. La han denominado BIAS (Bluetooth Impersonation Attacks) y explican que todos los dispositivos no actualizados se ven afectados en todas las clases de Bluetooth. En diciembre de 2019 la asociación Bluetooth SIG fue informada de este agujero de seguridad y desde entonces distintos fabricantes de dispositivos y software han ido lanzando actualizaciones para solucionarlo.

Cómo funciona BIAS

El ataque se basa en suplantar la identidad de la persona con la que la víctima quiere establecer una conexión Bluetooth. Este ataque spoofing es posible si el atacante ha establecido previamente una conexión con el dispositivo de la víctima o conoce la dirección de un dispositivo ya emparejado.

¿Por qué? Porque el fallo se encuentra en cómo la tecnología Bluetooth gestiona las claves de los dispositivos ya emparejados. Estas claves que se utilizan para crear una conexión segura entre los dos dispositivos siempre que haga falta sin tener que emparejarlos manualmente siempre que se desee utilizarlos.

Con esta información disponible el atacante puede hacerse pasar por el dispositivo al que realmente la víctima quiere conectarse. Esto se puede combinar por ejemplo con un ataque Key Negotiation of Bluetooth indican los investigadores. Un ataque que permite reducir la seguridad del canal de comunicación entre dos dispositivos Bluetooth para que así un tercero tenga mejor acceso y control de la información que se transfiere.

si Simplificación esquemática de cómo el atacante puede suplantar la identidad en un emparejamiento Bluetooth.

Qué solución hay para la vulnerabilidad BIAS

Tal y como ha anunciado Bluetooth SIG, un cambio en el funcionamiento de la tecnología llegará con el lanzamiento del próximo estándar Bluetooth para evitar que esta brecha de seguridad sea aprovechada. Sin embargo este nuevo estándar aún no ha llegado.

Mientras tanto, Bluetooth SIG recomienda actualizar todos los dispositivos a las última versiones posibles. Comentan que los fabricantes fueron informados desde el año pasado y que en principio las actualizaciones y parches de seguridad lanzados desde diciembre de 2019 traen una solución para la vulnerabilidad BIAS. En definitiva, actualizar siempre que sea posible los dispositivos a las últimas versiones de su firmware y software.

Bluetooth

Este fallo de seguridad en el protocolo Bluetooth no es el primero que se da. Son especialmente relevantes por el hecho de que Bluetooth es una tecnología inmensamente utilizada a nivel global y en todo tipo de dispositivos, desde un teléfono móvil hasta el termostato inteligente de turno pasando por auriculares inalámbricos. Y la información que se transmite por ellos no es siempre irrelevante, porque por ejemplo si se consigue acceso a un teclado Bluetooth como ocurrió con los de Logitech se puede obtener información del ordenador o infectarlo con malware.

Más información | BIAS y Bluetooth SIG


La noticia

BIAS, una nueva vulnerabilidad en Bluetooth que afecta a todos los dispositivos no actualizados recientemente

fue publicada originalmente en

Xataka

por
Cristian Rus

.