Kỹ năng này được Ollie Whitehouse của hãng bảo mật @Stake mô tả năm ngoái, cho phép kẻ tấn công với thiết bị chuyên biệt kết nối với máy cầm tay Bluetooth không được phép.
Một khi kết nối đã được xác lập, kẻ tấn công có thể còn gọi điện trên các máy cầm tay này, lấy dữ liệu ra hoặc nghe lén trên đường truyền dữ liệu giữa thiết bị và PC. Một số các hãng bảo mật khuyên các thương gia tài chính tránh dùng các máy cầm tay Bluetooth vì khả năng bị tấn công tiềm ẩn của nó.
Các lỗ hổng bảo mật khác nhau đã xuất hiện trong Bluetooth đang dần được sử dụng rộng rãi trong các điện thoại di động và các điện thoại thông minh chất lượng cao. Tuy nhiên, đa số đòi hỏi thực hiện các tính năng bảo mật của Bluetooth, hoặc dành cho thiết bị còn lại trong chế độ "discoverable". Cuộc tấn công của Whitehouse có thể được sử dụng chống lại máy cầm tay với các tính năng bảo mật được bật lên.
Cuộc tấn công của Whitehouse khó thực hiện vì nó đòi hỏi kẻ tấn công phải lấy một số thông tin trong quá trình kết nối. Từ dữ liệu này, kẻ tấn công có thể xác định PIN dành cho kết nối với độ dài thời gian phụ thuộc vào số các chữ số trong PIN. Các PIN 4 chữ số là tiêu chuẩn trên đa số các thiết bị.
Người sử dụng có thể được yêu cầu nhập lại số PIN để kết nối vào máy cầm tay không dây. Một khi hai thiết bị được kết nối lại, kẻ tấn công có thể dễ dàng bẻ khoá PIN trong nhiều trường hợp. Nhiều người sử dụng có thể phát hiện điều này vì kể từ khi kiểu kết nối đôi như vậy được xây dựng thành đặc điểm kỹ thuật của Bluetooth. Trên thực tế nhiều thiết bị có chế độ đòi hỏi người sử dụng nhập lại PIN của họ mỗi lần kết nối được thực hiện.
Các chuyên gia khuyên người sử dụng nên kiềm chế khi nhập các PIN kết nối đôi của họ càng nhiều càng tốt, đặc biệt là ở các nơi công cộng. Sử dụng các PIN nhiều chữ số hơn có thể còn tạo ra sự khác biệt lớn. Theo họ, PIN 6 chữ số có thể mất 10 giây để bẻ khoá, trong khi PIN 10 chữ số phải mất vài tuần để bẻ khoá. Nhiều người sử dụng sẽ thấy mình không có lựa chọn nào khác vì cho đến giờ nhiều thiết bị chỉ cho phép các PIN có 4 chữ số.
Theo Ptic.com
Bình luận (0)