Nuovo giorno, nuova vulnerabilità da segnalare. Quella di oggi interessa pressoché ogni dispositivo in circolazione dotato di un modulo Bluetooth, ad eccezione di quelli con sistema operativo Android. Sono dunque esposti gli utenti in possesso di uno smartphone o un tablet con piattaforma iOS oppure di un computer basato su Windows 10 o macOS, ma anche gli smartwatch di Apple con tecnologia watchOS e indossabili come quelli del brand Fitbit.
Scoperta una vulnerabilità Bluetooth
Il problema è stato individuato da un team di ricercatori della Boston University nel protocollo BT, più precisamente nell’implementazione di BLE(Bluetooth Low Energy), specifica introdotta nel 2010 e integrata in tutti i moduli più recenti, studiata per ridurre al minimo il consumo energetico durante la trasmissione dei dati.
La vulnerabilità fa leva sul metodo impiegato per mettere in comunicazione due dispositivi nelle vicinanze, passando attraverso advertising channel non cifrati accessibili pubblicamente. Consente a un malintenzionato con adeguate conoscenze di spiare la vittima aggirando la protezione impiegata dai device e basata sulla generazione random di indirizzi MAC, riferendosi a quelli che i ricercatori chiamano “identifying token” presenti nella stringa casuale, un parametro ritenuto sufficiente per continuare a identificare un dispositivo nonostante la continua variazione dell’indirizzo MAC.
Con la tecnica in questione è possibile effettuare il tracking di una persona, raccogliendo dettagli in merito alla sua localizzazione e altre informazioni potenzialmente sensibili. Il tutto mediante un semplice algoritmo sviluppato ad hoc.
Se ne è parlato in occasione della 19esima edizione del Privacy Enhancing Technologies Symposium andato in scena a Stoccolma. Ulteriori dettagli possono essere consultati all’interno della documentazione “Tracking Anonymized Bluetooth Devices” raggiungibile dal link a fine articolo.
Sebbene al momento non vi siano da segnalare violazioni basate sulla tecnica descritta, considerando la crescita prevista nel numero di dispositivi Bluetooth in circolazione (da 4,2 miliardi attuali a 5,2 miliardi nel 2022), legata anche alla sempre più capillare diffusione di prodotti legati agli ambiti smart home e Internet of Things, se uno strumento di questo tipo dovesse finire nelle mani sbagliate potrebbe costituire un serio rischio per la privacy degli utenti.