Le app di tracciabilità hanno riportato il bluetooth al centro dell’attenzione: è sicuro o no?
Partiamo da un punto: si attacca maggiormente ciò che conviene attaccare. E questo vuol dire che gli attacchi si concentrano verso gli obiettivi che hanno un’ampia diffusione (in modo da colpire un numero elevato di vittime) o verso qualcosa di estremamente remunerativo.
Fino ad ora il bluetooth non è stato un obiettivo primario degli hacker, perchè raramente è attivo sugli smartphone o lo è quando è difficile da raggiungere. Tipicamente si attiva il bluetooth per collegarlo all’automobile -e lì dentro il bad actor di solito non c’è-, oppure a casa o in ufficio per collegare qualche dispositivo e stiamo parlando di un luogo, ancora, non facilmente accessibile.
Rimangono quelli che utilizzano le cuffie bluetooth quando passeggiano per strada e qui un attacco è più fattibile.
Con le app di tracciabilità dei contatti basate sul bluetooth, adesso si aprono delle opportunità davvero imperdibili per i cyber criminal, visto che parecchia gente andrà in giro con il bluetooth aperto e quindi la sicurezza del bluetooth ritornerà un tema centrale.
Vediamo, allora, quali rischi si corrono al momento.
Solo a Febbraio di quest’anno è stato annunciato che oltre un miliardo di telefoni e tablet Android, non più supportati dagli aggiornamenti (versioni minori o uguali alla 6.0) sono vulnerabili a Bluefrag, che consente l’inoculazione di malware (Joker e Bread, nello specifico).
Alla fine di Marzo, Apple ha rilasciato due patch per IOS: iOS 13.4.1. e iPadOS13.4.1, che servivano a sanare, tra le altre cose, alcune vulnerabilità bluetooth a cui, fino ad ora, siamo stati esposti.
Il bluetooth è una porta di comunicazione attraverso cui lo smartphone o il tablet “dialoga” con i sistemi circostanti: domotica, cuffie (e microfono), automobile, altoparlanti, computer. Diventa, quindi, innanzitutto uno strumento di spionaggio, per intercettare tutti i dati che vengono scambiati attraverso il bluetooth, e poi diventa un canale attraverso cui inoculare malware.
Per sferrare l’attacco con il bluetooth, il bad actor ha necessità di portarsi in prossimità della vittima, ovvero al di sotto dei 10 m, condizione questa che può essere raggiunta facilmente su un mezzo di trasporto, una piazza o un ufficio pubblico.
Un’altra tecnica che i bad actor adotteranno sarà lo sfruttamento di app che utilizzanno il bluetooth. Ci si aspetta che, essendo “costretti” a tenere aperto il bluetooth, molte app inizieranno ad usare questo canale per le loro funzionalità. E, di conseguenza, potrebbero essere queste app ad essere attaccate per sfruttare la loro comunicazione via bluetooth – occhio alle repackaged-, oppure si diffonderanno molte app-trojan.
E’ chiaro che ora serve una maggiore attenzione dei ricercatori verso la sicurezza delle comunicazioni wireless.
Sarà, inoltre, necessario che chi rilascia le app di tracciabilità dei contatti sviluppi tempestivamente le patch ogni qualvolta vengano scoperte nuove vulnerabilità del sistema bluetooth.
Gli utenti, da parte loro, dovranno aggiornare sempre i sistemi operativi dei loro dispositivi, appena le nuove versioni sono rese disponibili.
Non sarebbe una cattiva idea abituarsi a cifrare i dati sui propri dispositivi mobili.
Non scaricate applicazioni da mercati non ufficiali, “craccate” o gratuite: limitatevi a quelle rilasciate da software house note e di buona reputazione, distribuite dai market ufficiali e limitatevi alle app che vi occorrono davvero. Infine controllate i permessi richiesti e controllate sempre nel gestore di risorse del vostro smartphone quale app usa quali risorse.
Infine, sarebbe opportuno che gli sviluppatori di app si abituassero a cifrare i dati che escono dal proprio smartphone e che si implementassero approcci zero-trust per tutte le comunicazioni.
Fate attenzione.
