Bluetooth SIG emitió hoy una declaración en la que informa a los usuarios y proveedores de una vulnerabilidad que potencialmente afecta a cientos de millones de dispositivos en todo el mundo.
Descubierto por dos equipos de investigadores académicos, el defecto reside en la derivación de claves de transporte cruzado (CTKD) de dispositivos que admiten tanto el estándar de velocidad básica / velocidad de datos mejorada (BR / EDR) como de Bluetooth de baja energía (BLE).
Apodado ‘BLURtooth‘ y rastreado como CVE-2020-15802 , la falla expone los dispositivos con tecnología Bluetooth 4.0 o 5.0, lo que permite a los atacantes conectarse sin autorización a un dispositivo cercano objetivo sobrescribiendo la clave autenticada o reduciendo la fuerza de la clave de cifrado.
Como podemos observar, esta nueva vulnerabilidad es bastante peligrosa y muy atractiva para cibercriminales. Se pueden hacer ataques de suplantación para enviar malware directamente a los dispositivos conectados, interceptar los datos que intercambian los dispositivos e incluso desarrollar exploits que afecten a dispositivos como algunos smartwatch. Las posibilidades y vectores de ataque derivadas de este fallo son bastante considerables.
Los fabricantes ya están desarrollando un parche para esta vulnerabilidad, pero ¿Cuántos dispositivos realmente se actualizarán? Muchos fabricantes lanzan sus productos sin una estrategia para llevar a cabo actualizaciones, esto deja a millones de dispositivos y gadgets vulnerables a los ataques de cibercriminales, que buscan cualquier manera de obtener beneficio propio.
Hals Intelligence
Especialistas en Seguridad Informática y Ciberseguridad
Boletín de prensa
