BlueBorne affects ordinary computers, mobile phones, and the expanding realm of IoT devices. The attack does not require the targeted device to be paired to the attacker’s device, or even to be set on discoverable mode.
Un nuovo, importante, terremoto sta scuotendo il mondo della sicurezza informatica. La vulnerabilità, chiamata BlueBorne, coinvolge miliardi di dispositivi IoT in tutto il mondo, dai terminali Android ai sistemi GNU/Linux con stack BlueZ, passando per gli iPhone.
Il white-paper della vulnerabilità, decisamente complesso e per addetti ai lavori, scaricabile liberamente dal sito web della Armis, descrive dettagliatamente le 8 vulnerabilità zero-day individuate:
- Linux kernel RCE vulnerability – CVE-2017-1000251
- Linux Bluetooth stack (BlueZ) information Leak vulnerability – CVE-2017-1000250
- Android information Leak vulnerability – CVE-2017-0785
- Android RCE vulnerability #1 – CVE-2017-0781
- Android RCE vulnerability #2 – CVE-2017-0782
- The Bluetooth Pineapple in Android – Logical Flaw CVE-2017-0783
- The Bluetooth Pineapple in Windows – Logical Flaw CVE-2017-8628
- Apple Low Energy Audio Protocol RCE vulnerability – CVE-2017-14315
Questo video descrive piuttosto bene il potenziale impatto di queste vulnerabilità:
Come ben si intuisce, le criticità di queste vulnerabilità vanno ben oltre quanto fino ad ora avevamo visto. La stima di 5,3 miliardi di dispositivi vulnerabili è decisamente impressionante, considerando che non tutti avranno modo/voglia/possibilità di effettuare i necessari aggiornamenti di sicurezza con le patch che correggono queste vulnerabilità. Ad esempio, penso a tutti gli smartphone meno recenti, ormai fuori dai piani di sviluppo, che probabilmente non riceveranno (o lo faranno troppo tardi) le patch necessarie. O a coloro che ignorano del tutto il problema della sicurezza, rischiando un furto di dati dai loro smartphone/tablet/laptop.
I vettori di attacco descritti sono decisamente preoccupanti: non solo permettono di prendere il totale controllo del dispositivo all’insaputa del proprietario ma potrebbero veicolare malware o altri strumenti per il furto dei dati anche sensibili, come le credenziali di accesso all’internet banking o agli altri servizi che usufruiamo attraverso il nostro smartphone.
Ad oggi non sembra essere disponibile in Rete alcun POC di questo zero-day exploit: eviteremo, per il momento, che smaliziati script kiddies si divertano a fare i Kevin Mitnik con lo smartphone della nonna. Tuttavia il rischio che venga velocemente sviluppato un malware o spyware basato su questi vettori è molto alto: conviene, in attesa della patch di sicurezza per i nostri dispositivi, mantenere il bluetooth disattivato.
Armis ha sviluppato una applicazione per Android, BlueBorne Vulnerability Scanner App, per verificare se il proprio smartphone o tablet è vulnerabile. Abilitando il bluetooth, è possibile anche verificare se i dispositivi nelle vicinanze (Smart TV, dispositivi IoT, altri smartphone…) sono suscettibili a questo attacco.