Di recente alcuni esperti di sicurezza informatica dell'Università di Boston hanno fatto sapere di aver individuato una grave vulnerabilità nell'implementazione del protocollo Bluetooth che permette di tracciare la posizione dei dispositivi e di conseguenza anche quella dei singoli utenti: non si tratta dunque solo di un problema di sicurezza ma anche di privacy perché un malintenzionato potrebbe sfruttare questa falla per effettuare attività di vario genere, tra cui soprattutto quella dello stalking. In pratica, secondo i ricercatori, tale vulnerabilità, (che interesserebbe tutti i sistemi operativi più diffusi, fatta eccezione per Android), è dovuta al modo in cui i dispositivi Bluetooth comunicano tra loro per stabilire una connessione. Difatti prima dell'inizio della trasmissione dei dati deve essere stabilito quale dei due device svolge un ruolo centrale, (ad esempio, lo smartphone), mentre l'altro un ruolo periferico, (ad esempio, gli auricolari): dopo aver stabilito questa gerarchia, il dispositivo centrale inizia la ricerca dei segnali inviati dal dispositivo periferico, i quali però oltre a non essere cifrati includono anche un indirizzo ed un cosiddetto payload con alcuni dati necessari per la connessione. Tuttavia, anche se molti dispositivi usano un indirizzo casuale che viene modificato periodicamente per proteggere la privacy degli utenti, gli esperti hanno scoperto che il device può essere ugualmente tracciato: ciò accade perché la variazione del payload non avviene contemporaneamente con quella dell'indirizzo, generando quindi un pattern identificabile. In sostanza per verificare la loro scoperta, i ricercatori hanno utilizzato una versione personalizzata di un algoritmo "sniffer" open source ed hanno osservato che, come già anticipato, la tecnica funziona con Windows, macOS ed iOS, ma non con Android, poiché il sistema operativo di casa Google non invia dati che permettono di identificare il dispositivo. Tra l'altro gli esperti hanno notato che alcuni dispositivi indossabili, (come, ad esempio, quelli di Fitbit), non usano un indirizzo casuale, (nemmeno dopo un riavvio), e quindi il loro tracciamento risulta essere molto più semplice. Ad ogni modo nonostante tale vulnerabilità non possa essere sfruttata per rubare dati personali, potrebbe consentire la creazione di una cosiddetta botnet per il tracciamento continuo della posizione dei vari utenti. Comunque sia i ricercatori hanno sottolineato che i rischi sono limitati, visto che esistono, infine, altri modi per ottenere lo stesso risultato, con o senza Bluetooth.
Di recente alcuni esperti di sicurezza informatica dell'Università di Boston hanno fatto sapere di aver individuato una grave vulnerabilità nell'implementazione del protocollo Bluetooth che permette di tracciare la posizione dei dispositivi e di conseguenza anche quella dei singoli utenti: non si tratta dunque solo di un problema di sicurezza ma anche di privacy perché un malintenzionato potrebbe sfruttare questa falla per effettuare attività di vario genere, tra cui soprattutto quella dello stalking. In pratica, secondo i ricercatori, tale vulnerabilità, (che interesserebbe tutti i sistemi operativi più diffusi, fatta eccezione per Android), è dovuta al modo in cui i dispositivi Bluetooth comunicano tra loro per stabilire una connessione. Difatti prima dell'inizio della trasmissione dei dati deve essere stabilito quale dei due device svolge un ruolo centrale, (ad esempio, lo smartphone), mentre l'altro un ruolo periferico, (ad esempio, gli auricolari): dopo aver stabilito questa gerarchia, il dispositivo centrale inizia la ricerca dei segnali inviati dal dispositivo periferico, i quali però oltre a non essere cifrati includono anche un indirizzo ed un cosiddetto payload con alcuni dati necessari per la connessione. Tuttavia, anche se molti dispositivi usano un indirizzo casuale che viene modificato periodicamente per proteggere la privacy degli utenti, gli esperti hanno scoperto che il device può essere ugualmente tracciato: ciò accade perché la variazione del payload non avviene contemporaneamente con quella dell'indirizzo, generando quindi un pattern identificabile. In sostanza per verificare la loro scoperta, i ricercatori hanno utilizzato una versione personalizzata di un algoritmo "sniffer" open source ed hanno osservato che, come già anticipato, la tecnica funziona con Windows, macOS ed iOS, ma non con Android, poiché il sistema operativo di casa Google non invia dati che permettono di identificare il dispositivo. Tra l'altro gli esperti hanno notato che alcuni dispositivi indossabili, (come, ad esempio, quelli di Fitbit), non usano un indirizzo casuale, (nemmeno dopo un riavvio), e quindi il loro tracciamento risulta essere molto più semplice. Ad ogni modo nonostante tale vulnerabilità non possa essere sfruttata per rubare dati personali, potrebbe consentire la creazione di una cosiddetta botnet per il tracciamento continuo della posizione dei vari utenti. Comunque sia i ricercatori hanno sottolineato che i rischi sono limitati, visto che esistono, infine, altri modi per ottenere lo stesso risultato, con o senza Bluetooth.
Commenti
Posta un commento