Bluffs: l'allarme del ricercatore italiano sulla sicurezza Bluetooth

Una nuova vulnerabilità nel sistema Bluetooth denominata "Bluffs" è stata scoperta dal ricercatore italiano Daniele Antonioli, un esperto di sicurezza informatica e professore associato alla prestigiosa Eurecom in Francia. Questa falla, che affligge un'enorme quantità di dispositivi prodotti a partire dal 2014, potrebbe compromettere la privacy di diversi utilizzatori di equipaggiamenti come smartphone, tablet, orologi intelligenti, e molti altri.

L'importanza di "Bluffs"

Il nome "Bluffs" è un acronimo di "Bluetooth Forward and Future Secrecy", e ha a che fare con le chiavi di sicurezza utilizzate per cifrare le connessioni Bluetooth. La minaccia di questa falla sorge quando un attaccante genera una chiave debole tra due dispositivi, compromettendo la sicurezza dell'utenza per un periodo indeterminato. Antonioli ha presentato i suoi dettagliati risultati durante la Acm Sigsac Conference on Computer and Communications Security.

Due vulnerabilità principali

Antonioli ha indicato che le principali vulnerabilità rilevate riguardano due proprietà di sicurezza conosciute come "forward secrecy" e "future secrecy". La forward secrecy intende garantire la protezione dei dati passati anche in caso di attacchi portati al presente, mentre la future secrecy mira a conservare i dati futuri quando la connessione presente è compromessa. In pratica, la situazione può venire paragonata allo sfruttamento di una password per accedere ad un account in un periodo forzato.

Il mondo reagisce alla scoperta

Il ricercatore Antonioli ha pubblicato un toolkit per testare la vulnerabilità su suo sito web personale, insieme al documento di ricerca e alle slides della presentazione fatta alla conferenza. La falla Bluffs è ora registrata nel database globalmente riconosciuto delle vulnerabilità con la denominazione CVE-2023-24023. In vista di questa scoperta, il consorzio Bluetooth Sig ha prontamente rilasciato un avviso di sicurezza per informare gli utenti.