Bluetooth Low Energy (BLE) sloužící k přenosu dat mezi zařízeními má závažnou chybu. Co hrozí a jak lze problémům předejít? 

Bluetooth Low Energy umožňuje fungování celé řady pomůcek osobní potřeby, moderní kanceláře i domácnosti. Ani tato technologie však neušla pozornost kybernetických zločinců. Její zneužití dovolí útočníkům proniknout do zařízení, jako jsou mobilní telefony a tablety, ale také ukrást auto nebo obejít bezpečnostní opatření v budově. 

Co je to Bluetooth Low Energy 

Jedná se podobnou technologii jako Bluetooth. Také umožňuje přenos dat a informací mezi různými zařízeními, ale potřebuje k tomu podstatně méně energie. BLE se totiž aktivuje a přenese data pouze v případě, že je využíván. Vyskytuje se např. v dálkových ovladačích, mobilních telefonech, chytrých hodinkách či kávovarech nebo ve zdravotnickém vybavení.  

Na Bluetooth Low Energy může být založena také autentizace na základě blízkosti. Tedy třeba bezklíčové (pasivní, komfortní) odemykání a startování aut, k němuž stačí mít čip v kapse a být ve stanovené vzdálenosti od vozu. Nebo některé bezpečnostní tokeny k počítačům a přístupy do budov.    

A tady je právě zakopaný pes. Technologie BLE totiž nebyla původně vyvinuta pro účely zabezpečení, ale pouze pro ovládání běžných zařízení denní potřeby. Protože je ale výhodná a úsporná, začala se v mnoha případech používat i pro chytré zámky a podobné systémy. 

Jak je možné BLE zneužít 

Kvůli zranitelnosti dokážou útočníci vylepšeným typem tzv. relay útoku (RSA) přesvědčit na dálku zařízení, že se v jeho blízkosti nachází právoplatný uživatel s klíčem, takže se samo odemkne. Bohužel je nemusí nezastavit ani šifrování, protože šifrovanou vrstvu dokážou někteří útočníci obejít, ani určená maximální doba odezvy, protože spojení je velice rychlé.  

Jak probíhá RSA útok.

V důsledku toho se může například odemknout a nastartovat auto, aniž by majitel s klíčem byl skutečně poblíž. Spolupachatel pak jen nasedne a může s ním odjet. Podobným způsobem se mohou vloupat do budov či do počítače plného citlivých údajů. 

Jak se bránit 

Podle specialistů se jedná o takový druh chyby, který nelze odstranit pouhou aktualizací softwaru. Je proto prozatím třeba přijmout spíše praktická opatření.   

  • Pokud to zařízení umožňuje, využívejte k aktivaci dvoufaktorové ověření, například potvrzení blízkosti navíc ještě odkliknutím v mobilní aplikaci nebo zadáním PINu. Je to sice méně pohodlné, ale zato bezpečnější. 
  • Kde druhý faktor nelze nastavit, mohou se uživatelé chránit tím, že pasivní odemykání zablokují. Na mobilech se doporučuje vypínat Bluetooth, pokud ho zrovna nevyužíváte. 
  • Chraňte svá zařízení kartou, která komunikaci blokuje. Vyrábí se také peněženky nebo dokonce tašky s touto ochrannou funkcí. 
  • Další z možností je nastavení od výrobce, aby bezklíčové odemykání nefungovalo, pokud bude mobil nebo klíčenka majitele delší dobu bez pohybu, což odhalí zabudovaný akcelerometr.  

Určitě je také užitečné zajímat se o technologie, na kterých jsou vaše chytrá zařízení založena, a vybírat si ty bezpečné. A obecně, neodsouvat kybernetickou bezpečnost, ať už v domácnosti nebo firmě, na druhou kolej.  

Pokud ve firmě kyberbezpečnost právě řešíte, obraťte se na naše odborníky. Navrhneme a zrealizujeme pro vás řešení na míru nebo zaměstnancům na školení podrobně vysvětlíme, jak se bezpečně chovat v kyberprostoru. 

Chcete mít vždy po ruce aktuální informace o kybernetické bezpečnosti? Sledujte náš blog a sociální sítě. Již brzy vám přineseme také zbrusu nový podcast o technologiích a kyberbezpečnosti, aby vám už žádné novinky neutekly.