Vulnerabilidad en Bluetooth permite realizar ataques “hombre en el medio”

El fallo de encuentra en el proceso de validación de claves públicas, y podría permitir la lectura e inyección de datos por un tercero entre dos dispositivos conectados.

to una vulnerabilidad en la tecnología Bluetooth que podría permitir a un tercero descifrar e inyectar datos en la comunicación entre dos dispositivos emparejados.

El fallo, al que se ha asignado el identificador CVE-2018-5383, ocurre durante el intercambio de claves de curva elíptica Diffie-Hellman. Durante este proceso, los dispositivos que van a emparejarse deben intercambiar sus claves públicas y acordar los parámetros de curva elíptica que van a utilizar.

El problema aparece cuando en algunas implementaciones estos parámetros no son validados. Esto permitiría a un atacante en el rango de alcance inyectar una clave pública inválida para realizar un ataque “man-in-the-middle”, de forma que podría descifrar las comunicaciones entre los dos dispositivos e incluso inyectar mensajes con contenido malicioso en la comunicación sin ser detectado.

El Bluetooth SIG (Special Interest Group), órgano encargado de las especificaciones de la tecnología, ha reconocido el fallo, y han realizado un cambio en el estándar que fuerza a la validación cualquier clave pública recibida.

Sin embargo, queda que los distintos fabricantes hagan cambios en sus implementaciones para eliminar la vulnerabilidad. Estos recibieron notificaciones entre mediados de enero y mediados de marzo de este año, antes de que el descubrimiento se hiciera público. Entre los afectados se encuentran Google, Apple y Samsung, que ya han lanzado parches para sus dispositivos.

Como curiosidad, Microsoft no está afectado por esta vulnerabilidad, pero no porque se haya adelantado a los acontecimientos, sino porque implementa una versión antigua del estándar que no contiene esta vulnerabilidad pero que es aún más insegura.

to en Fuente:

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies