Bluetooth 2.1 fue diseñado para ser más seguro que las versiones anteriores, pero es en realidad mucho más vulnerable, por lo que es trivial para un atacante obtener una contraseña cuando un usuario intente realizar un emparejamiento de dos dispositivos Bluetooth.
El problema es que el protocolo está muy abierto de par en par en el caso de la utilización de una contraseña fija, y es muy seguro si mejor se empleara una contraseña de una sola vez (OTP por sus siglas en inglés), por lo cual sería inútil para un atacante. Los desarrolladores de la versión 2.1 intentaron utilizar OTPs, aunque no existe una exigencia de su utilización en los estandares del protocolo. Ese error se convierte en un terrible fallo de seguridad.
Aunque la versión 2.1 de Bluetooth se publicó hace más de un año, no existen implementaciones de este. En dispositivos como manos libres para automóviles que utilicen Bluetooth, como se tenía pensado, los fabricantes tienden a ser reacios a exigir a los clientes la utilización de OTPs como una cuestión de conveniencia. Los resultados podrían ser obtener un coche Bluetooth convertido en un dispositivo de escucha, una forma de lo que se conoce como un "car whisperer".
No hay comentarios:
Publicar un comentario