dimungkinkan untuk "menipu" perangkat
Berita Terkait
Seorang penyerang bisa memanfaatkan kerentanan Bluetooth untuk mengurangi tingkat keamanan koneksi antara dua perangkat, dan dengan mudah "memecahkan" konten yang dibagikan. Ini telah diakui oleh Bluetooth SIG, konsorsium perusahaan di belakang salah satu standar yang paling banyak digunakan.
Bluetooth sangat populer di perangkat seluler untuk mengirim data secara nirkabel dan mudah; Misalnya, sebagian besar headphone nirkabel sudah menggunakan beberapa versi Bluetooth. Tetapi itu juga memungkinkan Anda untuk mengirim file, berbagi koneksi dan banyak lagi.
Seperti standar modern lainnya, Bluetooth memiliki beberapa langkah pengamanan, termasuk enkripsi data yang diangkut secara nirkabel; dengan cara ini, bahkan jika seseorang dapat mengambil data, mereka tidak dapat melakukan apa pun dengan mereka.
Kerentanan Bluetooth yang parah
Sekarang telah terungkap bahwa, setidaknya secara teori, dimungkinkan untuk membuat enkripsi seperti itu sangat lemah, yang memungkinkan penyerang untuk mendekripsi file dengan mudah. Serangan mengambil keuntungan dari momen kunci dalam komunikasi dua perangkat Bluetooth, ketika mereka harus memutuskan kunci enkripsi yang akan mereka gunakan.
Kunci enkripsi adalah sekumpulan karakter dari mana data dienkripsi; oleh karena itu, jika Anda memiliki kunci, Anda juga dapat menguraikannya. Setiap kali dua perangkat Bluetooth terhubung, mereka memutuskan untuk menggunakan kunci enkripsi baru; Ini biasanya sangat panjang dan rumit, hampir mustahil untuk diketahui.
Tetapi jika saat itu, seorang penyerang mencoba untuk membuat koneksi antara kedua perangkat (serangan "man-in-the-middle", man di tengah), adalah mungkin untuk "menipu" mereka dan membuatnya menggunakan kunci enkripsi yang jauh lebih banyak. Sederhana, dengan lebih sedikit karakter. Anda tidak dapat memberi tahu mereka kunci mana yang harus digunakan, tetapi seharusnya lebih mudah.
Kemudian, setelah koneksi dibuat, penyerang dapat menangkap lalu lintas dan mencoba mencari tahu kunci enkripsi; menjadi lebih sederhana, adalah mungkin untuk melakukan serangan "brute force", yaitu untuk menguji semua kombinasi karakter yang mungkin satu demi satu. Biasanya itu akan menjadi proses yang panjang dan mahal, tetapi dengan kunci enkripsi yang sederhana, tidak akan terlalu sulit untuk mendapatkannya dengan komputer saat ini.
Smartwatch Polar
Bluetooth SIG telah mengkonfirmasi bahwa ia tidak dapat menyelesaikan kerentanan ini; dan meskipun tampaknya membawa malapetaka, ia harus diletakkan dalam konteks. Untuk mengambil keuntungan dari masalah ini, penyerang harus hadir pada saat koneksi, menyerang tepat pada waktu yang tepat, dan ulangi proses dengan setiap koneksi baru. Selain itu, tidak semua perangkat terpengaruh: perangkat yang menggunakan Bluetooth LE (perangkat yang dapat dikenakan dan perangkat kecil) tidak rentan, misalnya.
Satu-satunya hal yang dapat dilakukan organisasi adalah merekomendasikan kepada produsen bahwa perangkat mereka selalu memilih kunci panjang, tetapi masih harus dilihat bagaimana itu benar-benar akan mempengaruhi keamanan kita.
