Si chiama "Bluffs" come nel poker,
ma non riguarda il gioco di carte. E' una falla di sicurezza nel
sistema Bluetooth, che minaccia la privacy di miliardi di
utilizzatori di queste tecnologie: smartphone, laptop, tablet,
smartwatches, iPhone, iPad, Android, Mac e Windows fino alle
automobili.
La falla colpisce la maggior parte dei dispositivi prodotti
dal 2014 ad oggi ed è indipendente dalla versione Bluetooth
supportata. Bluffs, acronimo di "Bluetooth Forward and Future
Secrecy", ha a che fare con le chiavi di sicurezza stabilite per
cifrare (proteggere) le connessioni da un attaccante nelle
vicinanze. A scoprire la falla è stato il ricercatore italiano
Daniele Antonioli, originario di Pesaro, professore associato di
sicurezza informatica ad Eurecom, centro di ricerca di
eccellenza francese di Sophia Antipolis.
"Con il Bluffs un attaccante riesce a stabilire una chiave
debole tra due dispositivi per poi comprometterla e forzare il
suo uso nel tempo" spiega. Antonioli ha presentato il suo lavoro
alla Acm Sigsac Conference on Computer and Communications
Security (CCS '23), che si è svolta a Copenaghen dal 27 al 29
novembre.
Le vulnerabilità scoperte riguardano "due proprietà di
sicurezza chiamate forward secrecy e future secrecy - aggiunge
il ricercatore -. La prima dovrebbe proteggere i nostri dati,
inclusi quelli sensibili, scambiati in passato da un attacco che
compromette una connessione sicura nel presente. La seconda
dovrebbe proteggere i dati scambiati nelle connessioni future,
quando quella presente è compromessa. E' come riuscire a bucare
un account protetto da password e che richiede il cambio della
password ogni mese, forzando la vittima a riutilizzare la
password compromessa nel tempo. E' il primo studio di ricerca
sulla forward e future secrecy del Bluetooth, ce ne potrebbero
essere altri in futuro". Antonioli in un post sul suo sito
personale ha rilasciato il toolkit per testare gli attacchi, il
research paper e le slides della presentazione fatta alla
conferenza CCS. Bluffs è tracciabile nel database mondiale delle
vulnerabilità come CVE-2023-24023. Il consorzio Bluetooth Sig ha
già pubblicato un avviso di sicurezza sulla falla.
Riproduzione riservata © Copyright ANSA