Vulnerabilidades de Bluetooth cada vez más fáciles de explotar

Codenomicon advierte a los consumidores sobre la mala calidad y seguridad de los equipo Bluetooth.

Los resultados se basan en pruebas de robustez de Codenomicon, las cuales usan un modelo inteligente de herramientas basadas en fuzzing, en 80% de las pruebas realizadas a varios dispositivos Bluetooth se hallaron fallas críticas. Todos los dispositivos fallaron en al menos un conjunto de pruebas sobre un perfil crítico de comunicación.

"Conjuntamente con nuestros socios, este año realizamos pruebas a diez diferentes kits para auto que cuentan con Bluetooth habilitado", dijo Ari Takanen, director de tecnologías de Codenomicon. "Encontramos fallas críticas en todos ellos".

Bluetooth es particularmente vulnerable a datos de entrada incorrectos. Éstos pueden causar que la operación del dispositivo Bluetooth sea lenta, muestre un comportamiento inusual o falle completamente.

En el peor caso, las entradas incorrectas de datos pueden ser usadas por un atacante externo para obtener acceso no autorizado al dispositivo Bluetooth.

Cuando las vulnerabilidades son en perfiles de comunicación de bajo nivel como L2CAP, los dispositivos no están protegidos por el proceso de emparejamiento. Estas fallas críticas pueden aprovecharse sin que el usuario las acepte, e incluso sin que note siquiera la conexión.

Hasta el momento, la calidad y seguridad de Bluetooth no había sido percibida como un problema. El proceso de emparejamiento y las pruebas de conformidad están pensados para proveer suficiente protección; como las aplicaciones Bluetooth no ofrecen acceso a información confidencial, la realización de ataques a la interfaz Bluetooth ha provocado poca motivación.

Sin embargo, Bluetooth se está haciendo más y más fundamental. Kits modernos para auto y equipos para el cuidado de la salud, por ejemplo, usan tecnología Bluetooth. Cuando el número de aplicaciones críticas se incrementa, la importancia de robustez y fiabilidad del equipo también lo hace.

"Bluetooth es usado principalmente en productos de consumo y los consumidores tienden a comprar lo más barato sobre lo de mejor calidad. A menos que los consumidores exijan que se realicen pruebas a los equipos, los fabricantes no están obligados a crear código seguro", concluye Takanen. "Ojalá que los reportes de pruebas como las que realizamos ayuden a cambiar el comportamiento del mercado y que eventualmente resulten equipos Bluetooth en los que podamos confiar".

Fuente:http://www.seguridad.unam.mx/noticias/?noti=4871&utm_source=twitterfeed&utm_medium=twitter