fizkes / Shutterstock Bluetooth her yerdedir ve güvenlik kusurları da öyle. Ama risk ne kadar büyük? Bluejacking, Bluesnarfing veya Bluebugging hakkında ne kadar endişelenmelisiniz? İşte cihazlarınızı korumak için bilmeniz gerekenler.
Bluetooth Güvenlik Açıkları Bol
İlk bakışta, Bluetooth kullanmak oldukça riskli görünebilir. En son DEF CON 27 güvenlik konferansında, katılımcılara Bluetooth'u devre dışı bırakmaları önerildi onlar oradayken cihazlarında. Elbette, oldukça küçük bir mekanda etrafınız binlerce bilgisayar korsanıyla çevrilmişse, cihaz güvenliğiniz konusunda daha dikkatli olmak isteyebilirsiniz.
Bir bilgisayar korsanının konferansına katılmasanız bile, endişelenmek için geçerli nedenler vardır - sadece haberleri okuyun. Bir Bluetooth spesifikasyonundaki güvenlik açığı yakın zamanda ortaya çıkarıldı. Bilgisayar korsanlarının Bluetooth cihazınıza Bluetooth Anahtar Anlaşması (KNOB) adı verilen bir teknikle erişmesine olanak tanır. Bunu yapmak için yakındaki bir bilgisayar korsanı, cihazınızı bağlandığında daha zayıf şifreleme kullanmaya zorlayarak, onu kırmasını kolaylaştırır.
Karmaşık mı görünüyor? Bu bir çeşit. KNOB istismarının işe yaraması için, iki Bluetooth cihazınızı bağladığınızda bilgisayar korsanının fiziksel olarak size yakın olması gerekir. Ve el sıkışmasını durdurmak ve farklı bir şifreleme yöntemini zorlamak için sadece kısa bir süresi var. Bilgisayar korsanı daha sonra şifreyi zorlamak zorunda kalır - ancak bu muhtemelen oldukça kolaydır çünkü yeni şifreleme anahtarı bir bit kadar kısa olabilir.
Ayrıca düşünün Boston Üniversitesi'ndeki araştırmacılar tarafından ortaya çıkarılan güvenlik açığı . Kulaklıklar ve hoparlörler gibi bağlı Bluetooth cihazları, kimliklerini şaşırtıcı şekilde algılanabilir bir şekilde yayınlar. Böyle bir cihaz kullanırsanız, açık olduğu sürece takip edilebilirsiniz.
Bu güvenlik açıklarının her ikisi de geçen ay ortaya çıktı ve bulmak için yalnızca bir yıl geriye gitmeniz gerekiyor bir diğeri . Kısacası, yakınlarda bir bilgisayar korsanı varsa ve Bluetooth cihazınıza geçersiz bir genel anahtar gönderirse, mevcut oturum anahtarınızı büyük olasılıkla belirleyebilir. Bu yapıldıktan sonra, bilgisayar korsanı Bluetooth cihazları arasında geçen tüm verileri kolayca yakalayabilir ve şifresini çözebilir. Daha da kötüsü, cihaza kötü amaçlı mesajlar da enjekte edebilir.
Ve devam edebiliriz. Bluetooth'un makarnadan yapılmış bir asma kilit kadar güvenli olduğuna dair pek çok kanıt var.
Genellikle Üreticinin Hatasıdır
Fusilli asma kilitlerden bahsetmişken, suçlu olan Bluetooth spesifikasyonundaki istismarlar değil. Bluetooth cihaz üreticileri, Bluetooth'un güvenlik açıklarını birleştirmek için önemli bir sorumluluk üstlenir. McAfee Advanced Threat Research'te güvenlik araştırmacısı olan Sam Quinn, How-to Geek'e Bluetooth akıllı asma kilit için ifşa ettiği bir güvenlik açığından bahsetti:
Hiçbir eşleştirme gerekmeden uyguladılar. Ona belirli bir değer gönderirseniz, "Just Works" adlı bir Bluetooth düşük enerji modunu kullanarak, kullanıcı adı veya şifre gerekmeden açılacağını keşfettik. "
Just Works ile herhangi bir cihaz, herhangi bir kimlik doğrulaması olmadan anında bağlanabilir, komut verebilir ve verileri okuyabilir. Bu, belirli durumlarda kullanışlı olsa da, asma kilit tasarlamanın en iyi yolu değildir.
Quinn, "Cihazları için güvenliği uygulamanın en iyi yolunu anlamayan bir üreticiden birçok güvenlik açığı devreye giriyor" dedi.
Webroot'ta kıdemli bir tehdit araştırma analisti olan Tyler Moffitt, bunun bir sorun olduğu konusunda hemfikirdi:
"Bluetooth ile çok fazla cihaz oluşturuluyor ve satıcıların güvenliği nasıl uygulaması gerektiğine dair sıfır düzenleme veya yönerge yok. Kulaklıklar, akıllı saatler ve her tür cihaz üreten birçok satıcı var ve bunların yerleşik olarak ne tür bir güvenliğe sahip olduğunu bilmiyoruz. "
Moffitt, bir zamanlar bulutta depolanan sesli mesajları çalabilen bulut bağlantılı akıllı bir oyuncağı anlatıyor. "Çok seyahat eden insanlar ve askeri aileler için tasarlandı, böylece çocukların oyuncağın oynadığını duymaları için mesajlar yükleyebilirler."
Maalesef, oyuncağa Bluetooth aracılığıyla da bağlanabilirsiniz. Hiçbir kimlik doğrulama kullanmadı, bu yüzden kötü niyetli bir oyuncu dışarıda durabilir ve ona her şeyi kaydedebilirdi.
Moffitt, fiyata duyarlı cihaz pazarını bir sorun olarak görüyor. Pek çok satıcı, müşteriler güvenlik açısından çok fazla parasal değer görmediğinden veya atfetmediğinden güvenlik konusunda köşeleri kesti.
Moffitt, "Bu Apple Watch ile aynı şeyi yarı fiyatına alabilirsem, deneyeceğim," dedi. "Ancak bu cihazlar genellikle maksimum karlılık için yapılmış minimum uygulanabilir ürünlerdir. Bu ürünlerin tasarımında genellikle sıfır güvenlik incelemesi yapılır. "
Çekici Sıkıntılardan Kaçının
Çekici baş belası doktrini, haksız fiil hukukunun bir yönüdür. Bunun altında, bir havuz veya şeker yetiştiren bir ağaç gibi bir şey (yalnızca büyülü alemlerde uygulanabilir) bir çocuğu mülkünüze izinsiz girmeye çekerse ve o da yaralandıysa, sorumlu olursunuz. Bazı Bluetooth özellikleri, cihazınızı ve verilerinizi riske atan çekici bir rahatsızlık gibidir ve bilgisayar korsanlığı gerekmez.
Örneğin birçok telefonun akıllı kilit özelliği vardır. Belirli, güvenilir bir Bluetooth cihazına bağlı olduğu sürece telefonunuzun kilidini açık bırakmanıza olanak tanır. Dolayısıyla, Bluetooth kulaklık takarsanız, telefonunuz takılı olduğu sürece kilitlenmemiş kalır. Bu uygun olsa da, sizi korsanlığa karşı savunmasız hale getirir.
Moffitt, "Bu, kimsenin kullanmasını tüm kalbimle tavsiye ettiğim bir özellik" dedi. Sadece kötüye kullanım için olgunlaşmış durumda.
Telefonunuzdan yeterince uzaklaşıp kontrolünüzde olmadığınız sayısız durum vardır, ancak yine de Bluetooth kapsama alanı içindedir. Esasen, telefonunuzu halka açık bir yerde açık bıraktınız.
Windows 10, adı verilen akıllı kilidin bir varyasyonuna sahiptir Dinamik Kilit . Telefonunuz Bluetooth kapsama alanının dışına çıktığında bilgisayarınızı kilitler. Genel olarak, 30 fit uzaklaşana kadar bu gerçekleşmez diye düşündüm. Ve o zaman bile, Dinamik Kilit bazen halsizdir.
Otomatik olarak kilitlemek veya kilidi açmak için tasarlanmış başka cihazlar da vardır. Verandaya adım atar atmaz akıllı bir kilit ön kapınızın kilidini açtığında harika ve fütüristiktir, aynı zamanda onu hacklenebilir hale getirir. Ve birisi telefonunuzu alırsa, artık telefonunuzun şifresini bilmeden evinize gelebilir.
"Bluetooth 5 ortaya çıkıyor ve teorik olarak 800 fitlik bir menzile sahip ”diyor Moffitt. "Bu, bu tür endişeleri artıracak."
İLİŞKİLİ: Bluetooth 5.0: Farklı Olan Nedir ve Neden Önemlidir?
Makul Önlemler Alın
Açıkça, Bluetooth ile gerçek riskler var. Ancak bu, AirPod'larınızı atmanız veya taşınabilir hoparlörlerinizi satmanız gerektiği anlamına gelmez - risk aslında düşüktür. Genel olarak, bir bilgisayar korsanının başarılı olabilmesi için, 1. Sınıf Bluetooth cihazı için 300 fit veya 2. Sınıf için 30 fit yakınında olması gerekir.
Ayrıca, cihazınız için belirli bir hedefi göz önünde bulundurarak sofistike olması gerekir. Bir cihazı Bluejacking (yakındaki diğer Bluetooth cihazlarına mesaj göndermek için kontrolü ele almak), Bluesnarfing (bir Bluetooth cihazındaki verilere erişmek veya bunları çalmak) ve Bluebugging (bir Bluetooth cihazının tüm kontrolünü ele geçirmek), farklı istismarlar ve beceri setleri gerektirir.
Aynı şeyleri başarmanın çok daha kolay yolları var. Birinin evine girmek için, ön kapı kilidini Bluebug etmeyi deneyebilir veya pencereden bir kaya fırlatabilirsiniz.
Quinn, "Ekibimizdeki bir araştırmacı, levye çubuğunun en iyi hackleme aracı olduğunu söylüyor" dedi.
Ancak bu, makul önlemler almamanız gerektiği anlamına gelmez. Her şeyden önce, telefonunuzdaki ve PC'nizdeki akıllı kilit özelliklerini devre dışı bırakın. Bluetooth aracılığıyla herhangi bir cihazın güvenliğini başka birinin varlığına bağlamayın.
Ve yalnızca eşleştirme için kimlik doğrulaması olan cihazları kullanın. Parola gerektirmeyen bir cihaz satın alırsanız (veya parola 0000 ise) daha güvenli bir ürün için iade edin.
Bu her zaman mümkün değildir, ancak varsa Bluetooth cihazlarınızdaki donanım yazılımını güncelleyin. Değilse, belki bu cihazı değiştirme zamanı gelmiştir.
Moffitt, "İşletim sisteminize benziyor," dedi. "Windows XP veya Windows 7 kullanıyorsanız, virüs bulaşma olasılığınız iki katından fazla. Eski Bluetooth cihazlarla aynı şekilde. "
Yine de, uygun önlemleri alırsanız, saldırıya uğrama riskini büyük ölçüde sınırlayabilirsiniz.
Quinn, "Bu cihazların mutlaka güvensiz olmadığını düşünmeyi seviyorum," dedi. "Bluetooth'a sahip olduğumuz 20 yılda, şimdiye kadar hiç kimse bu KNOB güvenlik açığını keşfetmedi ve gerçek dünyada bilinen bir Bluetooth korsanlığı yok."
Ancak ekledi: "Bir cihazın açık iletişime sahip olması gerekmiyorsa, belki o cihazda Bluetooth'u kapatabilirsiniz. Bu, bilgisayar korsanlarının kullanabileceği başka bir saldırı vektörü ekler. "
