fredag, juni 03, 2005

Bluetooth inte längre säkert

Kryptografer har hittat ett (enkelt) sätt att hacka sig in i bluetooth-apparater, även när säkerheten är påslagen.

Det är sedan tidigare känt att tillfället när två bluetooth-apparater "parar ihop sig", dvs utbyter sina 128-bitars krypteringsnycklar då de kommunicerar för första gången, är känsligt - det går lätt att snappa upp nyckeln och knäcka den. Men eftersom detta scenario kräver att apparaterna kommunicerar för första gången har det inte setts som ett allvarligt problem.

Nu har två israeliska kryptografer hittat ett sätt att tvinga bluetooth-apparater att para ihop sig på nytt. Det enda man behöver göra är att sno ett ID från en bluetooth-apparat - lätt gjort eftersom detta sänds ut av apparaten till alla andra bluetooth-apparater inom ca 10 meter - och sedan ''meddela'' den andra apparaten i paret att man tappat bort krypteringsnyckeln. Då tas nya nycklar fram och sänds ut, och man kan plocka upp den nya nyckeln. Nyckeln kan sedan knäckas på mindre än en halv sekund (0.06 s på en Pentium IV, 0.3 s på en Pentium III), vilket gör det praktiskt tillämpbart. Sedan är det möjligt att t ex ringa på någon annans mobiltelefon.

Jag antar att det åtminstone kommer införas längre krypteringsnycklar för bluetooth nu.

2 kommentarer:

Hans sa...

Det var väl lite konstigt att man förbisett en såpass uppenbar svag punkt när man gjorde Bluetooth. Finns det någon hake nånstans?

Malin Sandström sa...

Jo, det lät som en rätt uppenbart svag punkt när det förklarades i artikeln. Min gissning, utan att veta så mycket om bluetooth-tekniken, är att man inte trodde att det skulle gå att tvinga fram en ny "ihop-parnings-situation" på det här (enkla) sättet.