BLURtooth Adı Verilen Yeni Bir Bluetooth Güvenlik Zafiyeti Tespit Edildi

Bluetooth kablosuz teknolojisini sunan şirketler tarafından yapılan açıklamada BLURtooth adı verilen güvenlik açığının Cross-Transport Key Derivation (CTKD) Bluetooth standart bileşeninde güvenlik zafiyetine neden olduğu kaydedildi. BLURtooth, Bluetooth özelliği bulunan iki cihazın eşleşmesi esnasında kimlik doğrulama kodlarının değiştirilmesine neden oluyor.

Bileşen, Bluetooth Low Energy (BLE) ve Basic Rate/Enhanced Data Rate (BR/EDR) standartları için iki ayrı kimlik doğrulama kodu belirlenmesi ile kullanılıyor. CTDK, doğrulama anahtarlarını hazırlıyor ve eşleşen cihazların hangi Bluetooth standardını kullanmayı tercih ettiklerini belirliyor. CTDK’nın ana kullanımı, Bluetooth “ikili mod” içeriğinde öne çıkıyor.

Bluetooth Special Interest Group (Bluetooth SIG) ve ABD’deki Carneige Mellon Üniversitesi tarafından yapılan açıklamada siber suçluların, CTDK bileşenine müdahale ederek bir cihaz üzerindeki Bluetooth kimlik doğrulama anahtarlarını değiştirebileceği belirtildi. Böylelikle siber suçlular müdahale ettikleri cihazın Bluetooth özelliği üzerinden diğer cihazlara erişim sağlayabilir.

BLURtooth saldırısının bazı versiyonlarında kimlik doğrulama anahtarlarının tamamen değiştirilebildiği de ifade edildi. Aynı zamanda anahtarlar, zayıf şifreleme kullanılarak kolayca kırılabilecek seviyeye indirgenebiliyor.

Güvenlik araştırmacıları, Bluetooth 4.0 ve 5.0 standartlarına sahip tüm cihazların zafiyete açık olduğunu kaydediyor. Bluetooth 5.1 standardı ise BLURtooth saldırılarını bloke edebilen içerikler sunuyor.

Güvenlik için ne yapılmalı?

Bluetooth doğrulama kodlarının değiştirilmesine neden olan BLURtooth güvenlik zafiyetini önlemeye yönelik bir yama (patch) henüz bulunmuyor. Saldırının önüne geçebilmek için temel yöntem, Bluetooth cihazlarının eşleştirildiği ortamı koruma altına almak. Aksi takdirde siber suçluların man in the middle saldırıları düzenleyebileceği veya sosyal mühendislik ile Bluetooth cihazlarını kötü amaçlı diğer cihazlarla eşleştirebileceği ifade edildi. Buraya tıklayarak daha fazla ayrıntıya ulaşabileceğiniz Man in the middle (aradaki kişi) saldırısı, siber suçluların bir ortamdaki iletişimi yönlendirmesi veya manipüle etmesiyle gerçekleştiriliyor.

Yamalar hazır olduğunda Bluetooth cihazları için sunulan donanım yazılımları veya işletim sistemleri ile gelmeleri bekleniyor. Analistler, her bir Bluetooth işletim sistemi geliştiricilerin BLURtooth zafiyetine karşı adım atmakta aynı hassasiyeti göstermek isteyemeyebileceğini, aynı zamanda zafiyetten etkilenebilecek cihaz sayısını tahmin etmenin zor olduğunu ifade ediliyor.