Attacco al Bluetooth: BlueBorne impatta tutti

Oramai possiamo dire che praticamente tutti i dispositivi che utilizziamo giornalmente hanno un’antenna ed uno stack bluetooth a bordo. Siano essi smartphone, smartwatch, computer, tablet, impianti vari (audio, video, IoT, etc.) e perfino dispositivi medici, tutti utilizzano questa tecnologia per permettere lo scambio di dati wireless su brevi distanze con impatti minimi sulla batteria.

Quando dunque vengono scoperte vulnerabilità che riguardano il bluetooth si deve sempre essere molto attenti ad aggiornare il prima possibile, anche se spesso le procedure di pairing ed autenticazione dello stesso fanno pensare che il fatto di funzionare solo tramite prossimità (per la classe BT 4 si parla di circa mezzo metro di portata, ma alcuni dispositivi di classi minori arrivano fino a 100 m) e richiedere comunque un input attivo da entrambi i dispositivi, renda la necessità di aggiornamento meno urgente.

La vulnerabilità scoperta da Armis Lab è estremamente preoccupante: sfruttando un buffer overflow a livello di protocollo (la possibilità quindi di scrivere in aree di memoria non riservate al suo utilizzo) permette fondamentalmente ad un software malevolo non solo di catturare informazioni dal dispositivo violato, ma anche di eseguire arbitrariamente del codice, il tutto senza necessità di pairing e senza che l’attaccato si accorga minimamente di quello che sta succedendo.

Questa possibilità unita al fatto che praticamente tutti i sistemi sono impattati (stiamo parlando di Linux, Windows, macOS, Android, iOS, solo per citare i più famosi) rende davvero preoccupante tutto il discorso; sarà quindi possibile che appaia in giro un qualche tipo di malware che infetti questi dispositivi e passi in maniera silente da uno all’altro, diffondendosi in maniera capillare.

E’ stata ovviamente aperta più di una CVE, ma per quanto riguarda Linux sono fondamentalmente due:

  • CVE-2017-1000250: Impatta tutti i dispositivi contenenti lo stack BlueZ, e permette il recupero di informazioni dal dispositivo
  • CVE-2017-1000251: Affligge tutti i dispositivi con kernel 3.3-rc1 o superiore (praticamente tutti i kernel da Ottobre 2011 ad oggi), e permette l’esecuzione remota di codice

Vi forniamo un video che illustra a livello generale come può diffondersi un malware che utilizza BlueBorne come veicolo di trasmissione:

Vi rimandiamo alla pagina relativa a BlueBorne sul sito di Armis Lab, in cui potrete trovare oltre ai dettagli tecnici, video in cui si mostra esattamente come avviene l’attacco sui diversi sistemi operativi.

Insomma, il problema è grave, io per non saper ne leggere ne scrivere controllo insistentemente la disponibilità di update, e voi?

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l'HA e l'universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

Tags: ,