Falha de segurança no Bluetooth afeta chips da Apple, Intel e Qualcomm

Vulnerabilidade permite que conexões via Bluetooth e Bluetooth LE sejam interceptadas. Fabricantes já estão liberando correções.

Emerson Alecrim
• Atualizado há 3 anos
Bluetooth

Pesquisadores do Instituto de Tecnologia de Israel‎ descobriram uma vulnerabilidade importante que afeta a implementação do Bluetooth em diversos dispositivos. Drivers desenvolvidos por companhias como Apple, Broadcom, Intel e Qualcomm estão suscetíveis à falha, que permite que um invasor intercepte a comunicação entre dois aparelhos.

Mais precisamente, a vulnerabilidade afeta o padrão de pareamento Secure Simple Pairing do Bluetooth, bem como o Secure Connections do Bluetooth LE (versão da tecnologia com baixo consumo de energia). As especificações da tecnologia recomendam — mas não condicionam — que os dispositivos que suportam esses padrões validem a chave pública da criptografia da conexão quando há pareamento seguro. É aqui que mora o problema.

Por conta da flexibilidade no processo de validação, muitos dispositivos acabam não validando de modo suficiente os parâmetros usados para gerar as chaves. Isso abre espaço para ataques do tipo man-in-the-middle. Neles, o invasor utiliza algum mecanismo que intercepta dados trocados entre duas partes.

No caso do Bluetooth, o invasor intercepta o pareamento entre dois dispositivos impedindo que eles troquem chaves, mas enviando aviso de recebimento destas ao emissor como se o processo tivesse sido completado e, em seguida, transmite dados maliciosos ao receptor.

A Bluetooth SIG, organização responsável por padronizar a tecnologia, reconheceu a vulnerabilidade. Para combater o problema, a entidade atualizou as especificações do Bluetooth para que os dispositivos façam uma validação mais consistente das chaves públicas.

Apple, Broadcom, Intel e Qualcomm reconheceram o problema e já providenciaram correções. No caso da Apple, por exemplo, atualizações já foram liberadas para macOS High Sierra e iOS.

Com informações: Bleeping Computer.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.