רוב מכשירי הבלוטות’ מחצי העשור האחרון פגיעים למתקפה שמאפשרת להאקרים לקבל גישה לכל המידע המועבר באמצעות טכנולוגיית התקשורת הנפוצה, כך הודתה בשבוע שעבר Bluetooth SIG, הקבוצה האחראית על פיתוח הסטנדרט.
הפרצה התגלתה על ידי שני צוותים נפרדים באוניברסיטה הפוליטכנית בלוזאן (שווייץ) ובאוניברסיטת פרדו באינדיאנה (ארה”ב), וזכתה לכינוי BLURtooth. היא מנצלת חולשה בתהליך יצירת הצימוד בין שני מכשירים התומכים בתקשורת בלוטות’ חסכונית בשתי שיטות העברת מידע – חבילות מידע בסיסיות או מורחבות. בעת צימוד, יכול מכשיר תוקף להתחבר רק לאחד הסטנדרטים הללו ואז לשכתב את סיסמת הזיהוי לשימוש בשניהם, כך שמאותו רגע כל התקשורת בין המכשיר אליו התחבר לכל תקן בלוטות’ אליו הוא מחובר עובר דרכו.
לדוגמה, מכשיר שמתחזה לאוזניות ומצליח לקבל אישור צימוד מבעליו של מחשב נייד או טלפון יכול מאותו רגע ואילך ללכוד את כל מה שמוקלד על מקלדת הבלוטות’ המחוברת לאותו מכשיר, כל השיחות שנעשות באוזניות המחוברות אליו וכן הלאה.
הפרצה נמצאת בגרסאות 4.2 ו-5.0 של בלוטות’, שהוצגו בהפרש של שנתיים – הראשונה בדצמבר 2014 והשנייה בתחילת 2019 – אך מכשירים המבוססים עליהן ממשיכים לצאת עד היום.
בין הטלפונים הבולטים שמתבססים על הגרסאות הפרוצות של התקן ניתן למנות את כל מכשירי Galaxy של סמסונג (Samsung) בסדרות S ו-Note מאז 2016 (שנת השקתן של סדרות 7) ועד היום (כולל Galaxy Note 20), כמו גם מכשירי סדרה A מ-2017 ומעלה; כל מכשירי ה-iPhone של אפל (Apple) החל מ-6s ועד היום, כולל שני דגמי ה-SE; דגמי P8 עד P30 ו-Mate 8 עד Mate 20 של וואווי (Huawei); כל מכשירי סדרת Pixel מבית גוגל (Google); ועוד. מדובר על מכשירים שנמכרו במיליארדי יחידות בחצי העשור האחרון – וזה, כאמור, רק קצה הקרחון, שכן מחשבים ניידים רבים, כמו גם אוזניות, רמקולים, שעונים, צמידים, מקלדות, עכברים והמוני אביזרים מסוגים אחרים מגיעים עם קישוריות בלוטות’ מהדורות הפגיעים.
קבוצת בלוטות’ ציינה בהודעתה כי היא “ממליצה על יישומים פגיעים להכניס את המגבלות על (המנגנון לאבטחת התקשורת) המחויב בסטנדרט הליבה של גרסת בלוטות’ 5.1 ומעלה (…) ומעודדת את (החברות המשתמשות בתקן) להחיל במהירות כל תיקון הכרחי”. עם זאת, מאוד לא סביר שאפילו שבריר מכל מיליארדי המכשירים המושפעים מהפרצה יקבלו אי פעם עדכון המתקן אותה. עם זאת, תמיד כדאי לבדוק אם מכשירים שנמצאים בשימוש קיבלו עדכון למערכת ההפעלה (במקרה של מחשבים וטלפונים) או לקושחה (במקרה של אביזרים היקפיים), ולחפש ברשימת השינויים אזכור לפרצה CVE-2020-15802 – השם הטכני של BLURtooth.