Pesquisadores de segurança da Eurecom identificaram duas falhas críticas no Bluetooth, impactando dispositivos com versões 4.2 ou superiores. As vulnerabilidades, denominadas "BLUFFS," permitem seis formas de exploração, quebrando o sigilo das sessões Bluetooth e abrindo espaço para ataques de falsificação de dispositivos e man-in-the-middle (MitM).
Os ataques têm potencial para interceptar a transmissão de dados entre dispositivos, afetando uma ampla gama de aparelhos, incluindo iPhones, celulares Android modernos, tablets e computadores, que possuem Bluetooth nas versões 4.2 a 5.4.
As falhas residem na infraestrutura do Bluetooth desde a versão 4.2 até a 5.4, lançada em dezembro de 2014. Os pesquisadores destacam quatro falhas no processo de derivação da chave de sessão, facilitando a criação de chaves mais curtas e vulneráveis.
Na prática, isso induz o dispositivo a usar uma chave de segurança mais simples, permitindo a invasores utilizar métodos de força bruta para descobrir a sequência e comprometer a conexão. Os invasores podem agir como destinatários falsos ou intermediários entre dispositivos.
Atualmente, a única solução é desligar o Bluetooth. A responsabilidade agora recai sobre as fabricantes, que precisam desenvolver atualizações para corrigir as brechas de segurança. O Bluetooth SIG sugeriu a adoção de chaves mais complexas para reforçar a segurança da conexão.
Recentemente, a conexão Bluetooth Low Energy (BLE) também foi alvo de vulnerabilidades, destacando a importância de medidas urgentes para proteger a integridade das comunicações sem fio.
