Bluetooth se encuentra en casi todos los dispositivos modernos, por lo que una falla recién descubierta en el protocolo de comunicación debe tomarse muy en serio.
Como informó ZDNet por primera vez, David Starobinski y Johannes Becker de la Universidad de Boston describieron en un documento de investigación cómo se pueden rastrear teléfonos inteligentes, computadoras portátiles y dispositivos portátiles a través de un exploit en la tecnología Bluetooth.
Según el documento, hay una falla en las direcciones MAC aleatorias que cambian constantemente y que están diseñadas para mantener los dispositivos Bluetooth a salvo del rastreo. Este enfoque de seguridad podría jugar en la mano de un mal actor, permitiéndole no solo rastrear un dispositivo, sino también obtener información sobre su identidad y la actividad del usuario.
En el corazón de esta falla de Bluetooth hay un problema en el que los tokens de identificación y las direcciones MAC aleatorias no cambian de forma sincronizada, lo que permite que lo que los investigadores de la Universidad de Boston llaman un "algoritmo de transferencia de direcciones" rastree continuamente un dispositivo mediante el uso de un "pseudo- identidad."
"El algoritmo de transferencia de direcciones explota la naturaleza asincrónica del cambio de dirección y carga útil, y utiliza tokens de identificación sin cambios en la carga útil para rastrear una nueva dirección aleatoria entrante hasta un dispositivo conocido", se lee en el documento. "Al hacerlo, el algoritmo de transferencia de direcciones neutraliza el objetivo del anonimato en los canales de transmisión previstos por la aleatorización frecuente de direcciones".
MÁS: La nueva vulnerabilidad de Windows 10 podría permitir a los piratas informáticos obtener acceso completo …
Quizás lo más aterrador es que este algoritmo no descifra y se basa completamente en el tráfico publicitario público no cifrado, según el periódico. También es preocupante que el exploit se probó en la especificación Bluetooth de baja energía (BLE), que se encuentra en el último estándar Bluetooth 5.
El exploit supuestamente funciona en dispositivos Windows 10, iOS y macOS, que incluyen iPhones, dispositivos Surface y MacBooks. Los dispositivos Android anuncian su tráfico de una manera completamente diferente (mediante la búsqueda de publicidad cercana; no hay un seguimiento activo y continuo) y son inmunes a la vulnerabilidad.
Los investigadores que descubrieron la falla de Bluetooth enumeraron varias reglas que podrían proteger los dispositivos afectados, cuyo punto crucial es sincronizar cualquier cambio en la información de seguimiento con cambios en la dirección MAC de un dispositivo. Activar y desactivar Bluetooth en dispositivos iOS y macOS (lo siento, usuarios de Windows, esto no les ayudará) es una solución temporal, pero depende de los fabricantes implementar una solución más permanente. Sin embargo, el exploit de Bluetooth se reveló por primera vez a Microsoft y Apple en noviembre de 2022-2023, lo que sugiere que no es una alta prioridad para esas empresas.
"Dado que se prevé que la adopción de Bluetooth aumente de 4.200 a 5.200 millones de dispositivos entre 2022-2023 y 2022, con más de 500 millones de dispositivos portátiles y otros dispositivos conectados centrados en datos, el establecimiento de métodos resistentes al seguimiento, especialmente en canales de comunicación no cifrados, es de de suma importancia ", se lee en el periódico.
Aunque no se citaron casos conocidos, los investigadores advierten que si la vulnerabilidad BLE no se controla, los adversarios podrían eventualmente combinar transacciones de compra, reconocimiento facial y otra información sensible con datos de seguimiento para crear un perfil de un usuario expuesto.
- El mejor antivirus: el mejor software para PC, Mac y Android