Una grave vulnerabilità Bluetooth minaccia la sicurezza di numerosi dispositivi. Scopriamo l’impatto e le difese possibili.
Una criticità notevole ha recentemente sollevato preoccupazioni nel mondo della tecnologia: una vulnerabilità insidiosa, identificata come CVE-2023-45866 e CVE-2024-21306, minaccia la sicurezza di dispositivi che operano su sistemi operativi diffusi quali Android, Linux, macOS, iOS e Windows, per via della loro capacità di accettare sequenze di comandi tramite Bluetooth senza il benestare dell’utente.
La problematica CVE-2023-45866, in particolare, si rivela minacciosa soprattutto per le Smart TV dotate di sistema Android o Linux che, in assenza di aggiornamenti di sicurezza, si rendono vulnerabili a intrusione non autorizzate attraverso l’interfaccia Bluetooth.
Gli apparecchi vulnerabili a tale debolezza includono anche dispositivi con webOS, derivato da Linux, e le versioni meno recenti di Google Chromecast TV. Nell’eventualità di uno sfruttamento di questa breccia su Chromecast non aggiornato, sarebbe fattibile attivare la televisione e inviare sequenze di tasti senza incontrare ostacoli. Analogamente, la crittografia di smart TV basate su webOS permetterebbe ai malintenzionati di interfacciarsi e inoltrare comandi arbitrari.
Il rischio potrebbe estendersi anche alle Fire TV e ad altri dispositivi di streaming basati su Android non aggiornati. Sperimentazioni a tal proposito hanno dimostrato che, qualora lo script di sfruttamento del bug (Proof of Concept – PoC) venga eseguito senza interventi esterni, il device si manifesta suscettibile all’attacco.
Per perpetrare tali azioni è necessario conoscere l’indirizzo MAC Bluetooth del dispositivo obiettivo. Il Chromecast, ad esempio, rende noto l’indirizzo Bluetooth solo all’atto dell’accoppiamento mentre i dispositivi con webOS lo trasmettono costantemente, rendendo più agevole la violazione di sicurezza.
Marc Newlin, l’esperto che ha portato alla luce le vulnerabilità, ha condiviso su GitHub script dimostrativi che consentono di emulare una tastiera Bluetooth e di iniettare sequenze di tasti in dispositivi Android e Linux non protetti con un semplice approccio, denominato attacco “zero clic”, data l’assenza di interazioni necessarie per completare l’impresa.
Altresì, si può tentare di collegarsi a dispositivi con iOS falsificando la presenza di una Magic Keyboard di Apple, sebbene ciò richieda condizioni particolari e la conoscenza dell’indirizzo MAC Bluetooth della tastiera, un’impresa ardua in scenari concreti.
La vastità dei sistemi operativi coinvolti evidenzia come dispositivi fino all’Android versione 10 restino esposti, e perfino versioni più aggiornate di Android risultino vulnerabili in assenza dell’aggiornamento di sicurezza 2023-12-05.
Per circoscrivere i dispositivi Android a rischio si rende necessario individuarne gli indirizzi MAC Bluetooth. I dispositivi che utilizzano il Bluetooth classico, al contrario di quelli che adoperano il protocollo Bluetooth Low Energy (BLE), richiedono che la modalità di rilevabilità sia attiva per essere identificabili, creando uno scenario potenziale di attacco HID (Human Interface Device) tramite Bluetooth.
In conclusione, la sicurezza di molti dispositivi è compromessa da una vulnerabilità Bluetooth che consente l’invio di comandi a distanza senza consenso. L’attivazione del Bluetooth e la mancata installazione di patch di sicurezza adeguati aumentano la probabilità di un attacco riuscito, ponendo l’accento sull’impellente necessità di una risposta tempestiva da parte degli utenti e dei produttori di dispositivi vulnerabili.