Los expertos de CERT Coordination Center y Bluetooth Special Interest Group advirtieron este miércoles sobre una vulnerabilidad de Bluetooth que permite a los ‘hackers’ acceder a los datos o alterar las comunicaciones entre dispositivos emparejados y que podría afectar tanto a los dispositivos Android como a los iOS.
Denominada BLURtooth, o CVE-2020-15802, la vulnerabilidad está relacionada con el protocolo llamado Derivación de claves de transporte cruzado (CTKD, por sus siglas en inglés) utilizado por los dispositivos compatibles con Bluetooth.
Este componente se usa para negociar y configurar claves de autenticación al emparejar dos dispositivos. El CTKD funciona configurando dos conjuntos diferentes de claves de autenticación tanto para el estándar de Bluetooth Low Energy (BLE) como para Basic Rate/Enhanced Data Rate (BR/EDR). Básicamente, su función es tener las claves listas y dejar que los dispositivos emparejados decidan qué versión del estándar Bluetooth quieren utilizar, recoge el portal ZDNet.
Por su parte, BLURtooth permite a un pirata informático manipular el CTKD para sobrescribir otras claves de autenticación de Bluetooth en un dispositivo. De esta manera, un ‘hacker’ puede obtener acceso a cualquier aplicación o servicio con tecnología Bluetooth en el teléfono atacado.
Se informa que todos los dispositivos que utilizan el estándar de Bluetooth desde las versiones 4.0 hasta 5.0 son vulnerables a la falla, mientras que el estándar Bluetooth 5.1 viene con características que pueden prevenir este tipo de ataques. Desde Bluetooth Special Interest Group ya comunicaron que habían comenzado a notificar a los proveedores de dispositivos Bluetooth sobre BLURtooth y cómo podrían mitigar sus efectos usando el estándar 5.1.
Mientas tanto, aún no existe ningún ‘patch’ de seguridad para este problema. Por su parte, los especialistas señalan que la única manera de protegerse de BLURtooth ahora es controlar el entorno en el que se emparejan los dispositivos.
