(ANSA) – ANCONA – Se llama farol como el póquer, pero no es un juego de cartas, sino de smartphones, portátiles, tabletas, smartwatches, iPhones, iPads, androides, Macs, Windows e incluso coches, es un fallo de seguridad en el sistema Bluetooth que amenaza la privacidad de miles de millones de usuarios.
El fallo afecta a la mayoría de los dispositivos fabricados desde 2014 hasta la actualidad y es independiente de la versión de Bluetooth soportada.Bluffs es un acrónimo de Bluetooth Forward and Future Secrecy, que se utiliza para proteger la conexión de atacantes cercanos por Se refiere a la clave de seguridad establecida para cifrar (proteger) la conexión de atacantes cercanos.
El fallo fue descubierto por Daniele Antonioli, investigador italiano de Pesaro, profesor asociado de seguridad informática en Eurecom, centro de investigación de excelencia francés con sede en Sophia Antipolis.
Según explica, un atacante puede establecer una clave débil entre dos dispositivos, comprometerla y forzar su uso durante un largo periodo de tiempo.
Antonioli presentó sus hallazgos en la Conferencia Acm Sigsac sobre Seguridad Informática y de las Comunicaciones (CCS ’23), celebrada en Copenhague del 27 al 29 de noviembre.
Las vulnerabilidades descubiertas están relacionadas con dos propiedades de seguridad denominadas forward secrecy y future secrecy, añadieron los investigadores.
La primera protege los datos, incluidos los sensibles intercambiados en el pasado, de los ataques que comprometen las conexiones seguras actuales. La otra protege los datos intercambiados en conexiones futuras si la conexión actual se ve comprometida. Es como hackear una cuenta protegida con contraseña, cuya contraseña debe cambiarse cada mes, obligando a la víctima a reutilizar la contraseña comprometida durante un largo periodo de tiempo. Este es el primer estudio sobre el futuro secreto de Bluetooth, y es posible que se realicen otros en el futuro.
En un post de su web personal, Antonioli publicó un conjunto de herramientas para probar el ataque, un trabajo de investigación y diapositivas de su presentación en la conferencia CCS.
El farol puede rastrearse en la base de datos mundial de vulnerabilidades como CVE-2023-24023; el consorcio Bluetooth Sig ya ha publicado un aviso de seguridad sobre el fallo (ANSA).
