No mês passado, falamos aqui sobre uma vulnerabilidade do protocolo Bluetooth que potencialmente colocaria dispositivos de várias marcas (como a Apple) em risco de rastreamento indevido. Hoje, mais uma falha foi descoberta — possivelmente ainda mais perigosa, porém felizmente já corrigida nos dispositivos da Maçã.
A vulnerabilidade recém-descoberta está no protocolo inicial de comunicação entre dois dispositivos. Quando uma conexão Bluetooth é iniciada, os dois aparelhos em questão precisam “aceitar” o início da transferência; isso é feito com uma troca de códigos usados para autenticar a identidade dos dispositivos um para o outro. Feito isso, a comunicação entre eles é iniciada.
É aí que mora o problema: pesquisadores descobriram que um invasor pode interferir nessa autenticação inicial entre os dispositivos, reduzindo o código de identidade para um elemento de apenas um caractere. Com isso, o dispositivo malicioso pode facilmente tentar todos os códigos possíveis e se infiltrar na conexão — dando a ele a possibilidade de capturar dados, instalar malwares nos demais aparelhos ou manipular o tráfego deles.
Mesmo no caso de conexões Bluetooth que exijam códigos com um número mínimo de caracteres, revelam os pesquisadores, vários dispositivos simplesmente dispensavam o passo de verificar o tamanho desses códigos — com isso, era possível realizar o ataque da mesma forma.
O grupo Bluetooth SIG, responsável pelo desenvolvimento do protocolo, reconheceu a existência da vulnerabilidade e mudou as especificações da tecnologia para corrigi-lo, solicitando que as fabricantes de dispositivos com conexão Bluetooth atualizassem seus aparelhos para exigir a autenticação com códigos de no mínimo sete caracteres.
A Apple já o fez, e os sistemas da empresa são imunes à falha desde o iOS 12.4, o macOS Mojave 10.14.6, o watchOS 5.3 e o tvOS 12.4, liberados em julho passado. A empresa disponibilizou, também, correções de segurança relacionadas à mesma vulnerabilidade no macOS High Sierra 10.13.6 e no macOS Sierra 10.12.6, para computadores que não tenham capacidade de rodar o Mojave (ou seus sucessores).
Portanto, atualizem seus dispositivos — e olho vivo, sempre.
via 9to5Mac