ABD’de yer alan Purdue Üniversitesi’nde bir araştırma ekibi Bluetooth üzerinden milyonlarca cihazın risk altında olduğu bir güvenlik açığı keşfetti. Araştırmacıların raporuna göre bu açık henüz tam kapasitede bile kullanılmamış.
Milyonlarca cihazı etkileyen Bluetooth açığı keşfedildi
ABD’li üniversitenin bulduğu bluetooth açığı ismi BLESA (Bluetooth Low Energy Spoofing Attack) olarak açıklandı. Bu açık hackerların cihazlara sahte veriler göndermelerini sağlıyor.
Batarya gücünü koruyan BLE (Bluetooth Low Energy) protokolünü yürüten cihazları etkileyen bu açık, aynı protokolü kullanan iki cihazın eşleştirme işlemi sırasında karşılıklı doğrulama gerçekleştirdikten sonra ortaya çıkıyor.
Birbirini doğrulayan cihazların birbirlerinin kriptografik anahtarını kontrol etmesi gerekiyor. Ancak BLESA ile yeniden bağlanmak sırasında bu doğrulama isteğe bağlı olarak değişebiliyor. Ayrıca kullanıcının cihazı iletilen verilerin kimliğini doğrulamak için IoT cihazını zorlayamazsa kimlik doğrulaması atlatılabiliyor.
Araştırmacılar tarafından yapılan açıklamaya göre BLE’de bulunan bu açık şu ana kadar gerçek anlamda hackerlar tarafından kullanılmadı. Araştırmacılar, BlueZ (Linux tabanlı IoT cihazları), Fluoride (Android) ve iOS BLE yığınlarının BLESA saldırısına karşı savunmasız olduğunu keşfetti. Öte yandan Windows cihazlar bu saldırıya karşı dayanıklıydı.
Apple, geçtiğimiz Haziran ayında CVE-2020-9770 isimli bluetooth açığı kapattığını açıklamıştı. Fakat geçen ay yayınlanan makalede Android BLE’nin Google Pixel XL cihazındaki testinde Android’in hala savunmasız olduğunu açıkladı.
{{user}} {{datetime}}
{{text}}