O Bluetooth é encontrado em quase todos os aparelhos modernos, e é por isso que uma falha recém-descoberta no protocolo de comunicação deve ser levada muito a sério.
Como a ZDNet relatou pela primeira vez, David Starobinski e Johannes Becker, da Universidade de Boston, descreveram em um artigo de pesquisa como smartphones, laptops e wearables podem ser rastreados por meio de um exploit na tecnologia Bluetooth.
De acordo com o documento, há uma falha nos endereços MAC aleatórios e em constante mudança, projetados para manter os dispositivos Bluetooth protegidos do rastreamento. Esta abordagem de segurança pode jogar nas mãos de um mau ator, permitindo-lhes não apenas rastrear um dispositivo, mas também obter informações sobre sua identidade, bem como a atividade do usuário.
No centro dessa falha do Bluetooth está um problema em que a identificação de tokens e endereços MAC aleatórios não mudam em sincronia, o que permite o que os pesquisadores da Boston Unversity chamam de "algoritmo de transferência de endereço" para rastrear continuamente um dispositivo usando um "pseudo- identidade."
"O algoritmo de transferência de endereço explora a natureza assíncrona do endereço e da mudança de carga útil e usa tokens de identificação inalterados na carga útil para rastrear um novo endereço aleatório de entrada de volta a um dispositivo conhecido", diz o artigo. "Ao fazer isso, o algoritmo de transferência de endereço neutraliza a meta de anonimato em canais de transmissão pretendidos por randomização frequente de endereço."
MAIS: Nova vulnerabilidade do Windows 10 pode permitir que hackers tenham acesso total …
Talvez o mais assustador seja que esse algoritmo não descriptografa e é totalmente baseado no tráfego de publicidade pública não criptografada, de acordo com o jornal. Também preocupante é que o exploit foi testado na especificação Bluetooth low-energy (BLE), que é encontrada no padrão Bluetooth 5 mais recente.
O exploit supostamente funciona em dispositivos Windows 10, iOS e macOS, que inclui iPhones, dispositivos Surface e MacBooks. Os dispositivos Android anunciam seu tráfego de uma maneira completamente diferente (procurando por anúncios próximos; não há rastreamento ativo e contínuo) e são imunes à vulnerabilidade.
Os pesquisadores que descobriram a falha do Bluetooth listaram várias regras que podem proteger os dispositivos afetados, o ponto crucial das quais é sincronizar quaisquer alterações nas informações de rastreamento com alterações no endereço MAC de um dispositivo. Ligar e desligar o Bluetooth em dispositivos iOS e macOS (desculpem, usuários do Windows, isso não vai ajudar você) é uma solução temporária, mas cabe aos fabricantes lançar uma solução mais permanente. No entanto, o exploit Bluetooth foi divulgado pela primeira vez para a Microsoft e Apple em novembro de 2022-2023, sugerindo que não é uma alta prioridade para essas empresas.
"Como a adoção do Bluetooth está projetada para crescer de 4,2 para 5,2 bilhões de dispositivos entre 2022-2023 e 2022, com mais de meio bilhão entre eles wearables e outros dispositivos conectados com foco em dados, o estabelecimento de métodos resistentes ao rastreamento, especialmente em canais de comunicação não criptografados, é de de suma importância ", diz o jornal.
Embora nenhum caso conhecido tenha sido citado, os pesquisadores alertam que se a vulnerabilidade BLE permanecer desmarcada, os adversários podem, eventualmente, combinar transações de compra, reconhecimento facial e outras informações confidenciais com dados de rastreamento para criar um perfil de um usuário exposto.
- Best Antivirus - Top Software para PC, Mac e Android
