تكنولوجيا

ملايين الهواتف والكمبيوتر والأجهزة الذكية معرضة للاختراق بسبب البلوتوث

كشف باحثون بالمعهد الاتحادى السويسرى للتكنولوجيا فى لوزان EPFL عن وجود ثغرات أمنية فى تقنية البلوتوث تسمح للمهاجمين بخداع الأجهزة المقترنة، ما يعرض المليارات من الأجهزة الحديثة للقرصنة، حيث تستغل الهجمات التى تعرف بـ”هجمات انتحال هوية البلوتوث أو BIAS”، تقنية البلوتوث التى تدعم المعدل الأساسى BR ومعدل البيانات المحسن EDR لنقل البيانات لاسلكيًا بين الأجهزة.

وبحسب موقع zdnet الأمريكى، أوضح الباحثون فى تقرير أن مواصفات البلوتوث تضم ثغرات تسمح للهاكرز بتنفيذ هجمات انتحال هوية أثناء إعداد اتصال آمن، وتشمل نقاط الضعف هذه الافتقار إلى المصادقة المتبادلة الإلزامية وتقليل إجراءات المصادقة.

ونظرا للتأثير الواسع الانتشار للثغرات، قال الباحثون إنهم كشفوا عن النتائج إلى مجموعة SIG، وهى المنظمة التى تشرف على تطوير معايير البلوتوث، والتى اعترفت بالثغرات مع توضيح أنها أدخلت تغييرات لحل المشاكل الأمنية، وقالت: “سيتم إدخال هذه التغييرات فى مراجعة المواصفات المستقبلية“.

لكن لكى يكون هجوم BIAS ناجح، فيجب أن يكون الجهاز المهاجم داخل النطاق اللاسلكى لجهاز البلوتوث المعرض للهجوم الذى سبقه تجهيز اتصال BR/EDR مع جهاز بلوتوث آخر يعرف المهاجم عنوانه، فيما يظهر الخلل من كيفية تعامل جهازين تم إقرانهما سابقًا مع المفتاح طويل المدى، المعروف أيضًا باسم مفتاح الارتباط، الذى يستخدم لمصادقة الأجهزة بشكل متبادل وتنشيط الاتصال الآمن بينهما.

ويمكن للهاكرز استغلال الخطأ لطلب اتصال بالجهاز المعرض للهجوم عن طريق تزوير عنوان البلوتوث للطرف الآخر، والعكس بالعكس، ما يعنى انتحال الهوية والوصول الكامل إلى جهاز آخر دون امتلاك مفتاح الارتباط المستخدم لإعداد الاتصال.

وبحسب التقرير، فقال الباحثون إنهم اختبروا الهجوم على ما يصل إلى 30 جهازًا، من ضمنها الهواتف الذكية والأجهزة اللوحية وأجهزة اللاب توب وسماعات الرأس وأجهزة Raspberry Pi، ووجدوا أن جميعها عرضة لهجمات BIAS، فيما قالت مجموعة SIG إنها تحدث مواصفات البلوتوث الأساسية لتجنب رجوع الاتصالات الآمنة إلى إصدار أقدم من التشفير القديم، وبالإضافة إلى حث الشركات على تطبيق التصحيحات اللازمة، فإن المجموعة توصى مستخدمى البلوتوث بتثبيت آخر التحديثات من مصنعى الجهاز ونظام التشغيل.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *