Bluetooth-lek kan apparaten kwetsbaar maken
Er is een nieuwe kwetsbaarheid in de bluetooth-verbinding ontdekt. Kwaadwillenden hoeven niet per se de versleuteling te breken, maar kunnen twee apparaten wel forceren een magere versie van die versleuteling te gebruiken. Iedere keer wanneer nieuwe apparaten via deze verbinding aan elkaar gekoppeld worden, wordt er een nieuwe sleutel aangemaakt. Wanneer een malafide persoon zich mengt in dat koppelproces, dan kan die de apparaten dwingen een zwakkere sleutel aan te nemen, die gemakkelijker te kraken is.
Zo’n sleutel krijgt dan minder karakters mee. Diegene moet dan nog wel een brute force-aanval gebruiken (waarbij er net zo lang tekens ingevoerd worden totdat het juiste wachtwoord geraden is), maar dit kost aanzienlijk minder tijd dan wanneer die mensen het proberen bij encryption keys met veel meer tekens. Echter, de meeste bluetooth-gebruikers hoeven zich, zoals het er nu naar uitziet, geen zorgen te maken. Zo moeten die kwaadwillenden fysiek aanwezig zijn bij het koppelproces, en dat is in de meeste gevallen niet haalbaar.
Bovendien hebben de malafide personen slechts een zeer beperkte tijd om de aanval uit te voeren en moeten ze de aanval herhalen om nogmaal binnen te kunnen komen. Daarnaast is niet elk apparaat kwetsbaar. Alleen traditionele bluetooth-apparaten zijn te kraken; apparaten met bluetooth low-energy bijvoorbeeld weer niet (mits ze een goed, lang wachtwoord hebben). De organisatie achter de verbinding kan het lek niet oplossen, maar raadt bedrijven wel aan minimaal een x aantal tekens te gebruiken voor het wachtwoord.
Reacties (0)