Perangkat Bluetooth dapat membocorkan rahasia Anda karena cacat desain

Catatan: Dalam topik berikutnya yang akan Anda baca, Anda akan mempelajari tentang: Perangkat Bluetooth dapat membocorkan rahasia Anda karena cacat desain

Baik itu pelacak kebugaran, jam tangan pintar, speaker pintar, atau asisten rumah pintar, cara perangkat Bluetooth berkomunikasi dengan aplikasi seluler memberi ruang bagi peretas untuk mencuri informasi pribadi yang sensitif, penelitian Penelitian baru telah ditemukan. Cacat desain yang melekat membuat aplikasi seluler yang bekerja dengan perangkat Bluetooth Rendah Energi rentan terhadap peretasan, kata penelitian yang dijelaskan pada Konferensi Masyarakat Komputer tentang Keamanan Komputer dan Komunikasi, yang diadakan di London dari 11-15 November.

“Ada kerentanan mendasar yang membuat perangkat ini rentan – pertama saat pertama kali dipasangkan dengan aplikasi seluler, lalu lagi saat aktif,” kata Ziqiang Lin, Wakil Presiden Profesor Ilmu dan Teknik Komputer di Ohio State University. Amerika.

“Sementara tingkat keparahan kerentanan itu bervariasi, kami menemukan itu menjadi masalah yang konsisten di antara perangkat Bluetooth hemat energi saat berkomunikasi dengan aplikasi seluler,” tambah Lin.

Pertimbangkan pelacak kesehatan dan kebugaran yang dapat dikenakan, termostat pintar, speaker pintar, atau asisten rumah pintar.

Yang pertama berkomunikasi dengan aplikasi di perangkat seluler Anda dengan menyiarkan sesuatu yang disebut UUID – pengidentifikasi unik global.

Pengidentifikasi itu memungkinkan masing-masing aplikasi di ponsel Anda mengenali perangkat Bluetooth, membuat koneksi yang memungkinkan ponsel dan perangkat Anda berbicara satu sama lain.

Tapi pengidentifikasi itu juga disematkan dalam kode aplikasi seluler. Jika tidak, aplikasi seluler tidak akan dapat mengenali perangkat. Namun, UUID semacam itu di aplikasi seluler membuat perangkat rentan terhadap serangan sidik jari, demikian temuan tim.

“Setidaknya, seorang peretas dapat menentukan apakah Anda memiliki perangkat Bluetooth tertentu, seperti speaker pintar, di rumah Anda, dengan menentukan apakah perangkat pintar Anda menyiarkan UUID. Spesifik ditentukan dari aplikasi seluler masing-masing,” kata Lin. .

“Tetapi dalam beberapa kasus yang tidak melibatkan enkripsi atau enkripsi yang digunakan secara tidak benar antara aplikasi dan perangkat seluler, penyerang akan dapat ‘mendengarkan’ percakapan Anda dan mengumpulkan data itu.”

Namun, itu tidak berarti Anda harus membuang jam tangan pintar Anda.

“Kami pikir masalah ini relatif mudah diperbaiki, dan kami telah memberikan rekomendasi kepada pengembang aplikasi dan kelompok industri Bluetooth,” katanya.

Jika pengembang aplikasi memperketat pertahanan mereka pada validasi awal itu, masalahnya bisa diselesaikan, kata Lin.

Tim tersebut melaporkan hasilnya kepada pengembang aplikasi yang rentan dan Bluetooth Special Interest Group dan membuat alat otomatis untuk mengevaluasi semua aplikasi Bluetooth Low Energy di Google Play Store – 18.166 pada saat studi mereka.

Selain membangun database langsung dari aplikasi seluler perangkat Bluetooth di pasaran, penilaian tim juga mengidentifikasi 1.434 aplikasi rentan yang memungkinkan akses tidak sah. Analisis mereka tidak termasuk aplikasi di Apple Toko.

“Ini mengkhawatirkan,” katanya. “Potensi pelanggaran privasi sangat tinggi.”