Nem biztonságos Bluetooth-kapcsolatok

A szabvány kutatásával foglalkozó csoport azt állítja, hogy a Bluetooth-kapcsolat nem biztonságos, hacsak nem 8 jegyű PIN-kódot alkalmazunk használata során. Erre két eszköz összepárosítása során van szükség, a BSIG szerint ugyanis nyilvános helyen könnyen a PIN-kód illetéktelen kezekbe való jutásához vezethet a gondatlan használat.

Biztonsági okokból a Bluetooth-képes eszközök addig nem kommunikálnak egymással, amíg össze nem párosítja a két eszközt a felhasználó – azaz egy olyan eljárásban kell részt vennie a kommunikálni vágyó mobiltelefonoknak, noteszgépeknek stb., melynek során mindkét készüléken ugyanaz a PIN-kód kerül beírásra. Amennyiben ez viszont nyilvános helyen történik, akkor egy hackernek lehetősége nyílik arra, hogy megszerezze ezt az azonosítószámot, ennek révén ellenőrizhesse a kapcsolatot, vagy legrosszabb esetben akár mindkét eszköz felett is átveheti az ellenőrzést.

Maga a Bluetooth csak rövid hatótávolsággal rendelkezik, így azért olyan hatalmas problémával mégsem kell szembenézni, nem árt azonban óvatosnak lenni nyilvános helyen. Ha ugyanis azt tapasztaljuk, hogy két eszközünk hirtelen szét lett választva (unpaired), és ahhoz, hogy tovább folytassák a kommunikációt, újra kell őket párosítani, akár egy támadási kísérletre is gyanakodhatunk. Amikor ugyanis a felhasználó gyanútlanul újra elküldi a PIN-kódját, akkor egy hallgatózó hacker arra lecsaphat.

Arról, hogy hogyan lehet megtörni a Bluetooth PIN-kódos védelmét, nemrég két izraeli kutató a Tel Aviv Egyetemről publikált egy leírást „Cracking the Bluetooth PIN” névvel. Avishai Wool és Yaniv Shaked a Mobisys konferencián, Seattle-ben adták közre vizsgálódásaik eredményét, s itt hívták fel arra is a figyelmet, hogy két eszközt csak biztonságos területen, magánszférában párosítsunk össze, kerüljük a nyilvános helyeket. Ezenfelül azt is javasolják az izraeli kutatók, hogy legalább nyolc alfanumerikus karakterből álló PIN-kódot alkalmazzanak a felhasználók. Egy négy karakterből álló kód hozzávetőleg 10 másodperc alatt feltörhető egy mai PC-vel, azonban ha az azonosító hosszát duplájára növeljük, akkor durván 100 évnyi kódfejtésre van szükség.