كشف باحثون بالمعهد الاتحادى السويسرى للتكنولوجيا فى لوزانEPFLعن وجود ثغرات أمنية فى تقنية البلوتوث تسمح للمهاجمين بخداع الأجهزة المقترنة، ما يعرض المليارات من الأجهزة الحديثة للقرصنة، حيث تستغل الهجمات التى تعرف بـ"هجمات انتحال هوية البلوتوث أوBIAS"، تقنية البلوتوث التى تدعم المعدل الأساسى BRومعدل البيانات المحسنEDRلنقل البيانات لاسلكيًا بين الأجهزة.
وبحسب موقعzdnetالأمريكى، أوضح الباحثون فى تقرير أن مواصفات البلوتوث تضم ثغرات تسمح للهاكرز بتنفيذ هجمات انتحال هوية أثناء إعداد اتصال آمن، وتشمل نقاط الضعف هذه الافتقار إلى المصادقة المتبادلة الإلزامية وتقليل إجراءات المصادقة.
ونظرا للتأثير الواسع الانتشار للثغرات، قال الباحثون إنهم كشفوا عن النتائج إلى مجموعةSIG، وهى المنظمة التى تشرف على تطوير معايير البلوتوث، والتى اعترفت بالثغرات مع توضيح أنها أدخلت تغييرات لحل المشاكل الأمنية، وقالت: "سيتم إدخال هذه التغييرات فى مراجعة المواصفات المستقبلية".
لكن لكى يكون هجومBIASناجح، فيجب أن يكون الجهاز المهاجم داخل النطاق اللاسلكى لجهاز البلوتوث المعرض للهجوم الذى سبقه تجهيز اتصالBR/EDRمع جهاز بلوتوث آخر يعرف المهاجم عنوانه، فيما يظهر الخلل من كيفية تعامل جهازين تم إقرانهما سابقًا مع المفتاح طويل المدى، المعروف أيضًا باسم مفتاح الارتباط، الذى يستخدم لمصادقة الأجهزة بشكل متبادل وتنشيط الاتصال الآمن بينهما.
ويمكن للهاكرز استغلال الخطأ لطلب اتصال بالجهاز المعرض للهجوم عن طريق تزوير عنوان البلوتوث للطرف الآخر، والعكس بالعكس، ما يعنى انتحال الهوية والوصول الكامل إلى جهاز آخر دون امتلاك مفتاح الارتباط المستخدم لإعداد الاتصال.
وبحسب التقرير، فقال الباحثون إنهم اختبروا الهجوم على ما يصل إلى 30 جهازًا، من ضمنها الهواتف الذكية والأجهزة اللوحية وأجهزة اللاب توب وسماعات الرأس وأجهزةRaspberry Pi، ووجدوا أن جميعها عرضة لهجماتBIAS، فيما قالت مجموعةSIGإنها تحدث مواصفات البلوتوث الأساسية لتجنب رجوع الاتصالات الآمنة إلى إصدار أقدم من التشفير القديم، وبالإضافة إلى حث الشركات على تطبيق التصحيحات اللازمة، فإن المجموعة توصى مستخدمى البلوتوث بتثبيت آخر التحديثات من مصنعى الجهاز ونظام التشغيل.