Purduen yliopiston tutkijat ovat raportoineet BLE- eli Bluetooth Low Energy -yhteyksiin sisältyvästä haavoittuvuudesta, joka periaatteessa uhkaa jopa miljardeja laitteita. Esimerkiksi kaikki Android- ja iOS-älypuhelimet sekä Linuxia käyttävät tietokoneet ovat vaarassa. Vain Windowsissa käytetty BLE-protokolla on haavoittuvuudelle immuuni.
Purduen tutkijoiden mukaan BLE-protokollinen ongelma on laitteiden välinen autentikointi. Tarkalleen ottaen kyse on kahden linkkinsä menettäneen laitteen välisen yhteyden uudelleenmuodostaminen. Siinä moni protokolla hyväksyy yhteyden joko puutteellisesta autentikoinnista tai jopa autentikoinnin puuttumisesta huolimatta. Haavoittuvuudelle on annettu nimi BLESA (Bluetooth Low Energy Spoofing Attack).
BLESA-ongelma koskee ensinnäkin BLE-sovelluksia, jotka eivät vaadi autentikointia uudelleenliittymisen yhteydessä. Tutkijoiden mukaan tämä koskee peräti 67,7 prosenttia kaikista BLE-sovelluksista. Näin on, vaikka tutkijoiden analysoimista BLE-palvelinlaitteista vain kaksi kahdestoista ei tukenut autentikointia yhteyden uudelleen muodostamisen yhteydessä.
Ongelma on varsin laaja neljässä yleisimmässä BLE-protokollassa. Näissä etevä hyökkääjä voisi tutkijoiden mukaan tekeytyä parittuvaksi laitteeksi ja näin päästä kiinni kohdelaitteeseen ilman mitään suojausta. Ongelma koski esimerkiksi Ubuntu-läppäreitä, joissa BLE-yhteys muodostetaan BlueZ-pinoa hyödyntäen reaktiivisesti eli kättelyn jälkeen. Linux-yhteisö työstää BLESA-korjausta.
Android-laitteissa BLE-autentikointi vaaditaan jo ennen yhteyden hyväksymistä eli kyse on proaktiivisesta protokollasta. Android-puhelimissa Fluoride-pinon toteutus kuitenkin ontuu ja siksi ongelma on laaja. Android-leirin hajanaisuuden vuoksi korjaus on kuitenkin aikaa vievä ja hankala prosessi monille laitevalmistajille.
Applen iPhone-puhelimissa paritus tapahtuu iOS BLE -protokollalla, josta BLESA-haavoittuvuus on uusimmissa iOS-päivityksissä korjattu. Ja kuten sanottu, Windows 10:n BLE-yhteyksiä haavoittuvuus ei koskenut.
Tutkijat demosivat hyökkäystä Ouran älysormuksen ja Android-älypuhelimen välillä. Kun Ouran sovellus käynnistetään uudelleen, puhelin yhdistyy sormukseen ilman autentikointia.
Tutkijoiden mukaan ongelma koskee yli 8000 BLE-sovellusta, joita on asennettu 2,4 miljardiin Android-laitteeseen. iOS-leirissä luvut lienevät samansuuntaisia.
ETNdigi 2/2024 -lehti käsittelee laajasti elektroniikka-alan innovaatioita, erityisesti sulautettuja järjestelmiä ja kehittyvää tekoälyä. Lehdessä esitellään esimerkiksi LUMI-supertietokoneen roolia tekoälymallien kehittämisessä Suomessa. Uutiskattauksen lisäksi mukana on useita syvemmälle eri tekniikoihin sukeltavia artikkeleita.
NordPass on julkaissut kuudetta kertaa vuotuisen 200 yleisintä salasanaa -tutkimuksensa, joka paljastaa kansainvälisesti suositut salasanat sekä 44 eri maan salasanat. Maailmalla yleisin salasana on nerokas ”123456” ja Suomen yleisimpänä jatkaa kestosuosikki ”qwerty123”.
Tulevaisuuden autot nojaavat yhä tiukemmin nopeaan datansiirtoon. Tämän dataväylän pitää perustua standardiin. Sellainen on PCIe-väylä, kertoo Microchip.