Η Microsoft δήλωσε χτες ότι σκοπεύει να μπλοκάρει την αντιστοίχιση ορισμένων κλειδιών ασφαλείας BLE (Bluetooth Low Energy) στα Windows, λόγω της ευπάθειας που εντόπισαν οι μηχανικοί της στο πρωτόκολλο αντιστοίχισης BLE νωρίτερα αυτό το έτος.

Η ευπάθεια στην οποία αναφέρεται η Microsoft είναι το ίδιο ελάττωμα ασφαλείας που ανάγκασε τον περασμένο μήνα την Google να ανακαλέσει όλα τα βασισμένα σε BLE κλειδιά ασφαλείας Titan και να προσφέρει δωρεάν αντικαταστάσεις στους πελάτες της. Η ευπάθεια που εντοπίστηκε στο CVE-2019-2102, ανακαλύφθηκε νωρίτερα αυτό το έτος από δύο ερευνητές της Microsoft στον τομέα της ασφάλειας, τον Erik Peterson και τον Matt Beaver. Οι δυο τους διαπίστωσαν ότι μια λανθασμένη ρύθμιση κατά την εφαρμογή του πρωτοκόλλου αντιστοίχισης BLE, θα επέτρεπε σε έναν τοπικό εισβολέα που βρίσκεται κοντά σε ένα θύμα, να συνδέσει μια BLE κακόβουλη συσκευή με τη φορητή συσκευή ενός χρήστη (smartphone, laptop, tablet) χωρίς τη γνώση ή την αλληλεπίδρασή του. Επί του παρόντος, τα μόνα BLE-συμβατά κλειδιά ασφαλείας που βρέθηκαν να επηρεάζονται από αυτήν την ευπάθεια είναι τα Google Titan και Feitian και οι δύο εταιρείες προσέφεραν δωρεάν αντικαταστάσεις στους πελάτες τους.

Χθες επίσης, η Microsoft έλαβε μέτρα για την προστασία των χρηστών των Windows σε περίπτωση που χρησιμοποιούν άλλα κλειδιά ασφαλείας BLE που είναι ευάλωτα στην ίδια ευπάθεια CVE-2019-2102. Σε συμβουλή ασφαλείας που δημοσιεύθηκε χτες, η Microsoft δήλωσε σχετικά: «Για να αντιμετωπιστεί αυτό το ζήτημα, η Microsoft έχει μπλοκάρει την αντιστοίχιση αυτών των κλειδιών Bluetooth Χαμηλής Ενέργειας (BLE) με την εσφαλμένη ρύθμιση παραμέτρων». Αυτή η ενημέρωση ασφάλειας – ADV190016 – αποτελεί μέρος των ενημερώσεων του Ιουνίου της Microsoft, την οποία η εταιρεία κυκλοφόρησε χτες Τρίτη. Αυτό σημαίνει ότι μετά την εφαρμογή αυτών των ενημερώσεων ασφαλείας, οι χρήστες των Windows θα προστατεύονται σε επίπεδο OS απέναντι στην αντιστοίχιση με οποιαδήποτε άγνωστη συσκευή BLE που μπορεί επίσης να είναι ευάλωτη σε αυτήν την επίθεση.

Την περασμένη εβδομάδα, η Google κυκλοφόρησε παρόμοιες επιδιορθώσεις ασφαλείας για το λειτουργικό σύστημα Android, οι οποίες περιλαμβάνουν διορθώσεις για το CVE-2019-2102, εμποδίζοντας τους επιτιθέμενους να εκμεταλλευτούν αυτήν την λανθασμένη διαμόρφωση του πρωτοκόλλου BLE, ώστε να μη μπορούν να συζεύξουν BLE κακόβουλες συσκευές σε ένα Android smartphone. Η έκδοση ADV190016 της Microsoft κάνει το ίδιο πράγμα, αλλά για τους χρήστες των Windows.

Για χρήστες Linux και macOS, συνιστάται να ακολουθούν τις συμβουλές της Google σχετικά με αυτό το ζήτημα και να συνδυάζουν μόνο τα κλειδιά ασφαλείας BLE με τα λειτουργικά τους συστήματα σε περιβάλλοντα όπου ο εισβολέας δεν είναι φυσικά κοντά.

του Χάρη Ματθαίου