Expertos de la Agencia Nacional de Seguridad de los Sistemas de Información (TRAMPA) han descubierto un nuevo ataque al Bluetooth que les permite simular otro dispositivo.
Los investigadores dijeron que había problemas en las especificaciones Bluetooth Core y Mesh Profile que permiten a un atacante hacerse pasar por un dispositivo legítimo durante el emparejamiento., así como lanzar ataques de intermediario (por supuesto, mientras está dentro del alcance de una red inalámbrica).
Especialistas del Grupo de Interés Especial Bluetooth (señal Bluetooth) ya he publicado descripción detallada de los siete errores descubiertos, así como recomendaciones para su eliminación.
Según CERT/CC, Proyecto de código abierto de Android (AOSP), cisco, Intel, sombrero rojo, Los productos Microchip Technology y Cradlepoint son vulnerables a al menos algunos de estos problemas.. Alrededor de una docena de fabricantes más confirmaron que sus productos no se vieron afectados., y las soluciones de aproximadamente 200 otros proveedores pueden ser vulnerables, pero aún se desconoce su estado exacto.
Se informa que los desarrolladores de AOSP ya están trabajando en soluciones para las vulnerabilidades. CVE-2020-26555 y CVE-2020-26558 afectando a los dispositivos Android. Los parches deberían incluirse en el próximo boletín de seguridad de Android.
Cisco también está trabajando para resolver problemas. CVE-2020-26555 y CVE-2020-26558 afectando sus productos. La empresa rastrea estas vulnerabilidades como PSIRT-0503777710.
En cuanto a CVE-2020-26558 asunto, el atacante debe estar dentro del alcance de dos dispositivos Bluetooth emparejados y autenticar uno de los dispositivos en su propio dispositivo.
Bluetooth SIG recomienda que los proveedores de redes potencialmente vulnerables restrinjan la autenticación y no acepten el suministro de números aleatorios y de reconocimiento desde un host remoto que coincidan con los números seleccionados por el dispositivo local..
Déjame recordarte que informé que Expertos de Google e Intel advierten sobre peligrosos errores de Bluetooth en Linux.