Individuata una falla di sicurezza nella tecnologia Bluetooth
TecnologiaConsentiva di accedere al contenuto delle comunicazioni cifrate dei dispositivi e di modificarlo. Il team di ricerca che l’ha scoperta ha coordinato assieme al consorzio Bluetooth e al Computer Emergency Response Team la gestione delle patch di sicurezza
Un gruppo internazionale di ricercatori, composto dall’ingegnere pesarese Daniele Antonioli della Singapore University of Technology and Design (SUTD), da Nils Ole Tippenauer dell'Helmholtz Center for Information Security (CISPA) e da Kasper Rasmussen dell’Università di Oxford, ha identificato una falla di sicurezza nella tecnologia Bluetooth. Per dimostrare l’esistenza della vulnerabilità, il team ha condotto un severo attacco dimostrativo (noto come Key Negotiation Of Bluetooth), durante il quale è riuscito a spiare il contenuto delle comunicazioni cifrate di qualsiasi dispositivi Bluetooth e a modificarlo. Dopo aver individuato la vulnerabilità del maggio 2018, i ricercatori hanno implementato l’attacco a ottobre dello stesso anno. Il gruppo ha poi riportato il problema al consorzio Bluetooth (Bluetooth SIG) e al Computer Emergency Response Team (CERT), e ha coordinato con questi la gestione delle patch di sicurezza. L’attacco Key Negotiation Of Bluetooth (Knob) è stato presentato da Daniele Antonioli il 15 agosto 2019, nel corso della conferenza scientifica USENIX Security Symposium tenuta a Santa Clara nella Silicon Valley.
Le caratteristiche dell’attacco Knob
Daniele Antonioli spiega che l’attacco Knob sfrutta una falla di sicurezza nelle specifiche Bluetooth che regolano le connessioni cifrate tra dispositivi. "Un malintenzionato può sfruttare queste falle per forzare la negoziazione di chiavi crittografiche deboli e poi ottenere accesso alle chiavi e quindi ai dati”, chiarisce l’esperto. Per esempio, tutte le volte che connettiamo il nostro smartphone con le nostre cuffie Bluetooth, i due dispositivi negoziano una nuova chiave per cifrare le comunicazioni e un 'attaccante' può usare l'attacco KNOB per decifrare le informazioni scambiate dai nostri due dispositivi e accedere ai nostri dati, inclusi quelli sensibili", conclude Antonioli.
I bug di iOS individuati da Project Zero
Recentemente, gli esperti di Project Zero, il team di Google che si occupa di sicurezza informatica, hanno divulgato delle informazioni relative a sei vulnerabilità critiche individuate nel sistema operativo iOS: quattro di questi bug determinano l’esecuzione di codice dannoso per il device, mentre gli altri due permettono a una persona diversa dall’utente di sottrare dati dalla memoria e di leggere da remoto i file salvati. La scoperta del team ha permesso ad Apple di risolvere queste vulnerabilità con degli appositi aggiornamenti.
