Risco é baixo, mas correção é incerta. Vulnerabilidade será contornada no Bluetooth 5.1, mas dispositivos atuais com Bluetooth 4 e 5 devem tomar cuidado com pareamentos

A Bluetooth SIG, organização que normatiza as implementações do Bluetooth para garantir a compatibilidade entre os dispositivos que usam esta conexão sem fio, publicou um alerta sobre uma falha de segurança que pode permitir a interceptação de dados nesse tipo de conexão.

Chamada de “BLURtooth”, a vulnerabilidade afeta dispositivos com Bluetooth 4.2 a 5.0.

Ela foi descoberta por pesquisadores da Escola Politécnica Federal de Lausana, da Suíça, e da Universidade de Purdue, nos Estados Unidos.

O erro permite que um dispositivo Bluetooth pareado adultere as chaves de conexão segura configuradas para outros dispositivos pareados anteriormente, dando acesso aos dados transmitidos.

Ligações telefônicas realizadas com um fone sem fio ou palavras e senhas digitadas em um teclado Bluetooth, por exemplo, poderiam ser ouvidas ser capturadas por pessoas não autorizadas.

Correção no Bluetooth 5.1

A correção da falha depende de uma medida de segurança adotada no Bluetooth 5.1.

No entanto, a maioria dos dispositivos não recebe atualizações de Bluetooth por meio de software – é necessário adquirir um hardware novo ou trocar de telefone.

Por essa razão, o Bluetooth SIG “recomendou” que as fabricantes apliquem correções de forma retroativa para versões antigas da tecnologia. Apesar disso, não há data para que essas atualizações cheguem aos dispositivos dos consumidores.

No momento, a maioria dos dispositivos é vulnerável ao problema.

Risco reduzido

Apesar da gravidade do problema, o risco associado é reduzido por dois fatores: o alcance do Bluetooth e as restrições de pareamento adotada por alguns dispositivos.

O Bluetooth foi projetado para funcionar a distâncias curtas, o que exige que o atacante esteja próximo do alvo ou que o dispositivo Bluetooth em si seja adulterado ou malicioso para realizar a interceptação.

Já o pareamento restrito, adotado por alguns dispositivos sensíveis que exigem uma senha de conexão, também pode inviabilizar a exploração da falha.

No momento, a recomendação – tanto para fabricantes de dispositivos como para os usuários – é tomar cuidado com pareamentos. Dispositivos que pareiam automaticamente, sem que haja um “modo de pareamento” explícito e limitado, são os mais vulneráveis a um possível ataque.

Fonte: G1

Imagem: Stories – Freepik.com