Anglų bendrovė „AL Digital“ praneša apie naujus „Bluetooth“ technologijos duomenų apsaugos sistemų trūkumus

Anglų bendrovė „AL Digital“, besispecializuojanti autentifikacijos ir kriptografijos srityse, praneša apie naujus „Bluetooth“ technologijos duomenų apsaugos sistemų trūkumus. Praeitais metais bendrovė perspėjo apie galimybę perimti šios technologijos pagalba perduodamus duomenis, o šiais metais „AL Digital“ atrado naujas „skyles“.

Bendrovė teigia, kad „Bluetooth“ neapsaugota nuo SNARF atakų, kurių dėka galima perimti tokius duomenis, kaip adresų knygelės užrašus, dalykinių susitikimų tvarkaraščius ar verslo kontaktus, vykstant duomenų kaitai, pavyzdžiui tarp nešiojamojo kompiuterio ir mobiliojo telefono. „Bleutooth“ standarto specifikacija neatmeta tokios galimybės, tačiau nurodoma, kad duomenų perėmimas įmanomas tik vadinamuoju „matomu“ (visible) režimu. Vis tik „AL Digital“ pademonstravo, kad naudojantis kai kuriais „Nokia“ ir „Sony Ericsson“ telefonų modeliais, galima „apeiti“ šias kliųtis. Išsamūs aprašymai, kokie „siurprizai“ laukia telefonų savininkų aprašyti tinklapyje „Blue Stumbler“.

Kita problema, apie kurią užsiminė bendrovė, tai nesankcionuotas priėjimas prie informacijos, vadinamuoju „atsarginių durų“ būdu („backdoor attack“). Šiai atakai ypač neatsparūs „Nokia“ telefonai. Šiuo atveju, visa telefono atmintyje esanti informacija tampa prieinama įrenginiams, kurie norodomi kaip „patikimi“ („trusted“, „paired“). Piktavaliai pasinaudoję šia spraga, gali ir toliau naudotis „patikimaisiais“ įrenginiais be savininko žinios, t.y. galima išgauti ne tik telefone esančią informaciją, tačiau ir pasinaudojus GPRS ar WAP prisijungti prie interneto.

„AL Digital“ specialistų nuomone, tai liudija apie naujo sukčiavimo būdo – „bluejacking“ – atsiradimą. Jau egzistuoja galimybė pasinaudoti telefono ryšiu, naudojantis svetimu radijotelefonu, ar nesakcionuotai naudotis Wi-Fi jungtimi, tad reikėjo tikėtis, kad ir „Bluetooth“ neišvengs panašių problemų. Pirmu (SNARF atakos) atveju, pašaliniam sužinojus verslo tvarkaraštį ar kontaktus, žala gali būti ir nedidelė, tai priklauso nuo piktavalio ketinimų bei galimybių. Antruoju atveju („backdoor“ atakos), vartotojas rizikuoja gauti dideles sąskaitas už kito žmogaus prisijungimą prie interneto.

Bet kuriuo atveju, piktavalius greičiausiai bus galima lengvai išsiaiškinti, juk „Bluetooth“ veikimo spindulys ne viršyja 10 metrų atstumo.