Des chercheurs signalent des vulnérabilités «Sweyntooth» dans 480 appareils Bluetooth

Des chercheurs de Singapour disent avoir trouvé des failles de sécurité dans plus de 480 appareils Bluetooth, notamment des gadgets pour la maison intelligente, des bracelets de fitness et des instruments médicaux. Les vulnérabilités, qui ont été détectées dans les kits de développement de logiciels Bluetooth Low Energy (BLE), pourraient provoquer des plantages ou permettre aux pirates d'accéder en lecture / écriture aux appareils.

Surnommée Sweyntooth, la collection de 12 exploits pourrait finalement affecter tous les principaux fournisseurs, notamment Texas Instruments, Dialog Semiconductors, STMicroelectronics, Microchip, NXP, Cypress et Telink Semiconductor.

Des chercheurs de l'Université de technologie et de conception de Singapour ont nommé plusieurs des centaines d'appareils potentiellement vulnérables. Ils comprenaient la montre intelligente Fitbit Inspire; Dispositifs intelligents pour la maison Eve Systems qui gèrent les serrures de porte, les interrupteurs d'éclairage, les thermostats et la détection de mouvement; August Smart Lock pour les systèmes d'entrée à domicile; CubiTag pour le suivi des biens tels que les valises ou les vélos; et eGee Touch, une serrure à bagages intelligente.

L'équipe de recherche a informé les fournisseurs des bogues et de nombreux fabricants ont déjà conçu des correctifs pour les kits de développement logiciel. Certains appareils mettent automatiquement à jour leur micrologiciel, mais un défi majeur consistera à garantir que les consommateurs qui possèdent des appareils nécessitant des mises à jour manuelles soient alertés des vulnérabilités et installent les correctifs requis.

La seule bonne nouvelle est que la menace ne peut pas être lancée sur Internet. Les pirates potentiels doivent être à proximité immédiate de l'utilisateur.

Mais une catégorie d'appareils est particulièrement préoccupante. "Les appareils les plus critiques qui pourraient être gravement touchés par Sweyntooth sont les produits médicaux", indique le rapport de Singapour.

Parmi les appareils de santé reposant sur la connectivité Bluetooth, il y a les stimulateurs cardiaques, les glucomètres et les dispositifs d'administration de médicaments.

Les chercheurs ont énuméré trois catégories principales d'agressions potentielles contre des appareils grand public. Ce sont des attaques qui font planter des appareils, des attaques qui redémarrent des appareils et les forcent dans un état de blocage, et des attaques qui annulent les fonctions de sécurité et le contrôle manuel des appareils par les pirates. Les chercheurs considèrent que la dérogation est la plus grave des menaces.

Le protocole BLE est utilisé par les appareils sans fil pour limiter la consommation d'énergie.

Il est intéressant de noter que Bluetooth a été nommé d'après le roi danois du 10e siècle Harald Bluetooth, qui a aidé à guérir les failles parmi les tribus scandinaves se chamaillant. C'est ce sentiment de jeter un pont entre les deux côtés qui a conduit les développeurs de ce qui est maintenant appelé Bluetooth, un protocole sans fil connectant facilement les appareils, à choisir ce nom. Des chercheurs avisés à Singapour savaient que les historiens croient que le fils du roi Bluetooth, Sweyn Forkbeard, a destitué son père du trône de force, et a donc choisi le nom "Sweyntooth" pour cette menace numérique nouvellement découverte.

© 2020 Science X Network