Carnegie Mellon CERT Koordinasyon Merkezi Pazartesi günü yayınlanan bir danışma belgesinde "Bluetooth Core ve Mesh Spesifikasyonlarını destekleyen cihazlar, eşleştirme sırasında bir saldırganın yasal bir cihazı taklit etmesine izin verebilecek kimliğe bürünme saldırılarına ve AuthValue ifşasına karşı savunmasızdır" dedi.
İki Bluetooth özelliği, geçici bir ağdaki cihazlar arasında veri aktarımını kolaylaştırmak için kısa menzilli kablosuz teknoloji üzerinden çoktan çoğa iletişime izin veren standardı tanımlar.
Bluetooth Kimliğe Bürünme Saldırıları, diğer adıyla BIAS, kötü niyetli bir aktörün mağdurlar arasında paylaşılan uzun vadeli anahtarı bilmek ve doğrulamak zorunda kalmadan bir kurbanla güvenli bir bağlantı kurmasını sağlar ve böylece Bluetooth'un kimlik doğrulama mekanizmasını etkili bir şekilde atlar.
Araştırmacılar, "BIAS saldırıları, Bluetooth'un güvenli bağlantı kurma kimlik doğrulama prosedürleri, rakip rol anahtarları ve Güvenli Bağlantıların eski sürüme geçirilmesiyle ilgili ilk ortaya çıkan sorunlardır" dedi. "Bluetooth güvenli bağlantı kurulumu kullanıcı etkileşimi gerektirmediğinden BIAS saldırıları gizlidir."
"BIAS saldırılarının pratik olduğunu doğrulamak için, bunları Apple, Qualcomm, Intel, Cypress, Broadcom, Samsung dahil olmak üzere tüm büyük Bluetooth sürümlerini uygulayarak, büyük donanım ve yazılım satıcılarının 31 Bluetooth cihazına (28 benzersiz Bluetooth yongası) karşı başarıyla gerçekleştiriyoruz. ve CSR. "
