Bluetooth: una falla nel sistema minaccia la privacy di miliardi di utenti

Bluetooth a rischio in tantissimi dispositivi prodotti a partire dal 2014

Bluffs è l’acronimo per “Bluetooth Forward and Future Secrecy”. Una falla che ha il potere di compromettere la sicurezza di una vasta gamma di dispositivi prodotti dal 2014 ad oggi, indipendentemente dalla versione Bluetooth supportata. Il cuore del problema risiede nelle chiavi di sicurezza utilizzate per cifrare le connessioni e proteggere gli scambi di dati tra dispositivi. Antonioli spiega che un hacker, sfruttando il Bluffs, può stabilire una chiave debole tra due dispositivi e successivamente comprometterla, costringendo il suo utilizzo nel tempo. Questa rivelazione è stata presentata alla Acm Sigsac Conference on Computer and Communications Security (CCS ’23) a Copenaghen dal 27 al 29 novembre.

L’impatto della rivelazione e le contromisure

Le vulnerabilità individuate da Antonioli coinvolgono due fondamentali proprietà di sicurezza, la forward secrecy e la future secrecy. La prima, concepita per proteggere i dati passati, la seconda per preservare quelli futuri. In altre parole, è come se un intruso riuscisse a violare un account protetto da password, costringendo la vittima a riutilizzare la password compromessa nel corso del tempo. Antonioli ha reso pubblico un toolkit per testare gli attacchi, il research paper e le slides della sua presentazione, ponendo il focus su Bluffs, rintracciabile nel database mondiale delle vulnerabilità come CVE-2023-24023. Il consorzio Bluetooth Sig ha reagito prontamente, emettendo un avviso di sicurezza sulla falla, e il futuro potrebbe riservare ulteriori studi sulla forward e future secrecy del Bluetooth.