Bluetooth Low Energy (BLE) sloužící k přenosu dat mezi zařízeními má závažnou chybu. Co hrozí a jak lze problémům předejít?
Bluetooth Low Energy umožňuje fungování celé řady pomůcek osobní potřeby, moderní kanceláře i domácnosti. Ani tato technologie však neušla pozornost kybernetických zločinců. Její zneužití dovolí útočníkům proniknout do zařízení, jako jsou mobilní telefony a tablety, ale také ukrást auto nebo obejít bezpečnostní opatření v budově.
Co je to Bluetooth Low Energy
Jedná se podobnou technologii jako Bluetooth. Také umožňuje přenos dat a informací mezi různými zařízeními, ale potřebuje k tomu podstatně méně energie. BLE se totiž aktivuje a přenese data pouze v případě, že je využíván. Vyskytuje se např. v dálkových ovladačích, mobilních telefonech, chytrých hodinkách či kávovarech nebo ve zdravotnickém vybavení.
Na Bluetooth Low Energy může být založena také autentizace na základě blízkosti. Tedy třeba bezklíčové (pasivní, komfortní) odemykání a startování aut, k němuž stačí mít čip v kapse a být ve stanovené vzdálenosti od vozu. Nebo některé bezpečnostní tokeny k počítačům a přístupy do budov.
A tady je právě zakopaný pes. Technologie BLE totiž nebyla původně vyvinuta pro účely zabezpečení, ale pouze pro ovládání běžných zařízení denní potřeby. Protože je ale výhodná a úsporná, začala se v mnoha případech používat i pro chytré zámky a podobné systémy.
Jak je možné BLE zneužít
Kvůli zranitelnosti dokážou útočníci vylepšeným typem tzv. relay útoku (RSA) přesvědčit na dálku zařízení, že se v jeho blízkosti nachází právoplatný uživatel s klíčem, takže se samo odemkne. Bohužel je nemusí nezastavit ani šifrování, protože šifrovanou vrstvu dokážou někteří útočníci obejít, ani určená maximální doba odezvy, protože spojení je velice rychlé.
V důsledku toho se může například odemknout a nastartovat auto, aniž by majitel s klíčem byl skutečně poblíž. Spolupachatel pak jen nasedne a může s ním odjet. Podobným způsobem se mohou vloupat do budov či do počítače plného citlivých údajů.
Jak se bránit
Podle specialistů se jedná o takový druh chyby, který nelze odstranit pouhou aktualizací softwaru. Je proto prozatím třeba přijmout spíše praktická opatření.
- Pokud to zařízení umožňuje, využívejte k aktivaci dvoufaktorové ověření, například potvrzení blízkosti navíc ještě odkliknutím v mobilní aplikaci nebo zadáním PINu. Je to sice méně pohodlné, ale zato bezpečnější.
- Kde druhý faktor nelze nastavit, mohou se uživatelé chránit tím, že pasivní odemykání zablokují. Na mobilech se doporučuje vypínat Bluetooth, pokud ho zrovna nevyužíváte.
- Chraňte svá zařízení kartou, která komunikaci blokuje. Vyrábí se také peněženky nebo dokonce tašky s touto ochrannou funkcí.
- Další z možností je nastavení od výrobce, aby bezklíčové odemykání nefungovalo, pokud bude mobil nebo klíčenka majitele delší dobu bez pohybu, což odhalí zabudovaný akcelerometr.
Určitě je také užitečné zajímat se o technologie, na kterých jsou vaše chytrá zařízení založena, a vybírat si ty bezpečné. A obecně, neodsouvat kybernetickou bezpečnost, ať už v domácnosti nebo firmě, na druhou kolej.
Pokud ve firmě kyberbezpečnost právě řešíte, obraťte se na naše odborníky. Navrhneme a zrealizujeme pro vás řešení na míru nebo zaměstnancům na školení podrobně vysvětlíme, jak se bezpečně chovat v kyberprostoru.
Chcete mít vždy po ruce aktuální informace o kybernetické bezpečnosti? Sledujte náš blog a sociální sítě. Již brzy vám přineseme také zbrusu nový podcast o technologiích a kyberbezpečnosti, aby vám už žádné novinky neutekly.
