Falla di sistema Bluetooth colpite Windows e Apple
Un gruppo di ricercatori ha messo in luce una falla nel protocollo Bluetooth che consente il riconsocimento ed il tracking di device Apple e Windows 10.
Alcuni ricercatori della Boston University hanno scoperto una falla nella implementazione di Bluetooth Low Energy (BLE) sotto windows 10, macOS and iOS. Queste falle potrebbero addirittura consentire ai device con tali sistemi operativi di essere tracciati dall’esterno. ZDNet ha fatto sapere che i ricercatori hanno condiviso dettagli del problema al Privacy Enhancing Technologies Symposium nel tentativo di aumentare l’attenzione verso la falla presente su di un protocollo diffuso praticamente ovunque.
Come il nome lascia intendere, il protocollo BLE è stato sviluppato per rendere le connessioni wireless meno esose nei confronti dell’energia presente nelle batterie. Sebbene in parte ciò sia vero, il protocollo è stato sviluppato soprattutto per risolvere un problema legato alla privacy, nato con lo sviluppo delle stesse connessioni Bluetooth. Le versioni precedenti del protocollo richiedevano che i device utilizzassero il broadcast costante del proprio media access control (MAC) address; in una simile situazione l’identificazione ed il tracciamento di ciascun device in trasmissione Bluetooth venivano resi più semplici. BLE ha modificato le caratteristiche del protocollo, consentendo ai device la trasmissione di indirizzi random cambiati in modo periodico, o come dichiarano i ricercatori, “periodically changing, randomized address”.
Il problema nasce dal modo in cui Microsoft e Apple generano questi indirizzi casuali simulati. I ricercatori hanno mostrato nel loro lavoro che chiunque si trovasse a monitorare costantemente gli “annunci” usati da BLE per la ricerca delle connessioni, potrebbe essere in grado di identificare e tracciare device specifici. Gli annunci di cui si parla, ovviamente, non intendono presentare un nuovo prodotto; al contrario, si tratta di messaggi emessi in modo costante da ciascun device BLE “per dichiarare la propria presenza ad altri device”. Sono proprio questi “annunci” a rappresentare il problema.
I ricercatori hanno infatti sviluppato un “algoritmo per il riporto dell’indirizzo” che “sfrutta il fatto che la sincronia delle emissioni di identificazione del token e accesso random non cambiano” per “tracciare ogni device con continuità, anche quando utilizzi misure per l’anonimato”. Una simile falla non richiede nemmeno un vero e proprio hacking: utilizza semplicemente informazione trasmessa in modo pubblico in modalità di cui né Microsoft né Apple sono state responsabili nella progettazione.
Si suppone che di un simile attacco siano bersagli tutti i device con Windows 10, macOS, e iOS. I ricercatori hanno anche spiegato per quale motivo Android non risulta colpito.
Abbiano notato come Android pubblicizzi gli indirizzi modificandoli in intervalli tra i 15 ed i 45 minuti. Tuttavia, gli smartphones con Android hanno mostrato un approccio di annuncio completamente diverso rispetto a quello di Windows o iOS/macOS, utilizzando un sistema che lo rende immune all’attacco dell’algoritmo timing-based. I telefoni Android testati non hanno mai pubblicizzato, inviandoli, dati manufacturer-specific o comunque dati che potessero potenzialmente identificare il device ad intervalli regolari. Piuttosto, il sistema operativo esegue scansioni per cercare annunci di altri device quando i settaggi Bluetooth vengono aperti dall’utente. In altri termini è proprio per la mancanza di un annuncio continuo e proattivo sulla rete che i token identificativi non possono essere ricostruiti. Questo rende i device Android controllati assolutamente immuni al carry-over algorithm.
Maggiori informazioni si trovano sul documento completo, “Tracking Anonymized Bluetooth Devices. I ricercatori hanno dichiarato di aver rilasciato la valutazione dei potenziali problemi legati all’implementazione del BLE tanto a Microsoft quanto ad Apple nel Novembre 2018; non è stato esplicitato se vi sia stata una qualche risposta al riguardo. Di certo nessuna delle due aziende ha reso note le minacce.