Tutkijat todistivat haavoittuvuuden bluetooth low energy -teknologiassa suomalaisen älysormuksen avulla - Tietoturva - Ilta-Sanomat

Bluetooth-aukko vaarantaa miljardit laitteet – todistettiin suomalaisella älysormuksella

Bluetooth-tekniikan uusin haavoittuvuus koskee valtavaa kirjoa laitteita ja on korjaamatta Androidissa.

Bluetooth-tekniikasta löydettyä aukkoa ei ole vielä kaikista laitteista korjattu.

18.9.2020 12:36

Muun muassa puhelimissa, tietokoneissa ja esineiden internetin laitteissa erittäin yleisesti käytetty langaton bluetooth-tekniikka kärsii haavoittuvuudesta, joka mahdollistaa hyökkäykset laitteita ja niiden käyttäjiä vastaan. Ongelman paljasti Purduen yliopisto, jonka tiimin havainnoista (pdf) uutisoivat esimerkiksi ZDNet ja Threatpost.

Miljardeja laitteita koskeva haavoittuvuus liittyy bluetoothin vähävirtaiseen protokollaan nimeltä bluetooth low energy. Hyökkäykselle annettiin nimeksi Bluetooth Low Energy Spoofing Attack eli Blesa ja siinä isketään jo aiemmin paritettuihin laitteisiin, kun ne ottavat toisiinsa uudelleen yhteyttä.

Ensimmäinen ongelma on, että laitteita ei pakoteta tunnistautumaan niiden ottaessa uudelleen yhteyttä. Toinen ongelma on, että tunnistuksen voi myös tietyissä tilanteissa ohittaa kokonaan. Seurauksena jopa miljardeihin laitteisiin voidaan syöttää väärää tietoa. Uhkana on, että sekä laitteet että ihmiset voivat tehdä vääriä päätöksiä, kun kaksi laitetta yrittävät kytkeytyä toisiinsa.

Tutkijat käyttivät hyökkäyksensä esittelemiseen suomalaista Oura-älysormusta. Heidän onnistui tekeytyä sormukseksi ja syöttää väärää tietoa Googlen Pixel XL -puhelimeen. Puhelimessa toimiva Ouran sovellus hyväksyi ja esitti nämä väärät tiedot.

Tämä ei tarkoita, että Oura itsessään olisi ongelmallinen. Tutkijat vain todistivat älysormuksen avulla heikkouden sen käyttämässä bluetooth-teknologiassa.

Purduen tiimi löysi haavoittuvuuden Linuxia käyttävistä esineiden internetin laitteista, Applen iOS:stä ja Googlen Androidista. IOS:stä aukko on jo korjattu ja Linuxiin korjaus on tulossa. Android oli edelleen haavoittuva tutkijoiden julkaistessa havaintonsa. Aukko ei kuitenkaan koske lainkaan Windows-laitteita.

Tietoturvastaan tarkat ovat yleensä suosittaneet bluetooth-yhteyden sulkemista aina kun mahdollista teknologiasta esiin tuotujen toistuvien haavoittuvuuksien vuoksi. Tällä hetkellä ohjeen noudattaminen on kuitenkin tavallista vaikeampaa, koska lukuisat maailman koronatartuntojen seurantasovellukset tarvitsevat bluetooth low energy -tekniikkaa toimiakseen. Näin on myös suomalaisen Koronavilkun tapauksessa.

Osion tuoreimmat

Luitko jo nämä?