Encontrada una vulnerabilidad en dispositivos Bluetooth Low Energy que permite por ejemplo abrir puertas

Esta semana NCC Group ha hecho publica una prueba de concepto de que los dispositivos BLE pueden explotarse desde cualquier parte del planeta.

Antes, de entrar en materia, explicamos brevemente en que consiste la Bluetooth Low Energy (BLE). Se trata de una tecnología de red de área personal inalámbrica, diseñada y comercializada por Bluetooth SIG destinada a aplicaciones en el cuidado de la salud, fitness, seguridad y las industrias de entretenimiento en el hogar. Esta tecnología se utiliza para la interconexión digital de objetos cotidianos con internet, el llamado IOT (Internet of things).

Pues bien, esta vulnerabilidad encontrada por NCC Group, revela que los receptores Bluetooth Low Energy (BLE) son vulnerables.

Los ciberdelincuentes pueden acceder a estos dispositivos y tomar el control, desde cualquier punto del planeta.

¿Qué dispositivos se ven afectados?

El acceso a dispositivos personales, como teléfonos o computadoras portátiles, hasta automóviles y casas supone un grave peligro. Listamos algunos de los más importantes:

  • Automóviles con entrada sin llave automotriz. Modelos como el Tesla 3 e Y están afectados.
  • Laptops con función de desbloqueo por proximidad Bluetooth.
  • Teléfonos móviles.
  • Cerraduras inteligentes residenciales.
  • Sistemas de control de acceso a edificios.
  • Seguimiento de activos y pacientes médicos.

Estos dispositivos funcionan con la proximidad, pero esto se ha podido falsificar como parte de la investigación, lo que podría afectar a todos, desde el consumidor promedio hasta las organizaciones que buscan cerrar las puertas de sus instalaciones.

El problema no se puede reparar fácilmente ya que se trata de un error en la especificación de Bluetooth. Este exploit podría afectar a millones de personas, ya que la autenticación de proximidad basada en BLE no se diseñó originalmente para su uso en sistemas críticos, como mecanismos de bloqueo en cerraduras inteligentes, según NCC Group.

¿Cómo me puedo proteger de este defecto?

NCC Group ofrece los siguientes tres consejos:

  1. Los fabricantes pueden reducir el riesgo al deshabilitar la funcionalidad de la tecla de proximidad cuando el teléfono o el llavero del usuario ha estado inmóvil por un tiempo (según el acelerómetro).
  2. Los fabricantes de sistemas deben dar a los clientes la opción de proporcionar un segundo factor de autenticación o certificación de presencia del usuario (p. ej., pulsar un botón de desbloqueo en una aplicación del teléfono).
  3. Los usuarios de los productos afectados deben deshabilitar la función de desbloqueo pasivo que no requiere la aprobación explícita del usuario o deshabilitar el Bluetooth en los dispositivos móviles cuando no sea necesario.

Dado que el error se puede explotar desde cualquier lugar, es crucial que los usuarios averigüen cuál de sus dispositivos usa la tecnología BLE y lo deshabiliten o al menos restrinjan el desbloqueo pasivo. Para los fabricantes y creadores de sistemas, podría ser crucial repensar qué piezas de tecnología se están utilizando para desbloquear dispositivos y potencialmente dejar de producir artículos con tecnología BLE, ya que puede explotarse fácilmente.

Nota de prensa de NCC Group

Comparte este contenido:

Deja un comentario

Alertas de seguridad

Recíbelas a tu email
Consulta las últimas alertas