You have not selected any currencies to display

Bl0ckch41nnewsBSAM: Metodología de evaluación de seguridad de dispositivos Bluetooth

12


Ha sido en el congreso de seguridad RootedCon Madrid 2024 donde Tarlogic ha
presentado BSAM y su
investigación, demostrado
cómo capturar audio sin que el usuario del dispositivo sea consciente
y utilizarlo para espiar conversaciones privadas.

BSAM es el acrónimo de
Bluetooth Security Assesment Methodology (Metodología de evaluación de
seguridad de dispositivos Bluetooth). BSAM es una metodología de abierta y
colaborativa desarrollada para estandarizar la evaluación de seguridad de
dispositivos que hacen uso de la tecnología bluetooth.

Su aplicación ha ayudado a identificar problemas de seguridad en un gran
número de auriculares Bluetooth, evidenciando que los fabricantes deben
tomarse la seguridad de Bluetooth en serio para evitar, entre otros riesgos,
conexiones no autorizadas a estos dispositivos para espiar conversaciones.
Esta metodología abierta y colaborativa incorpora controles que evalúan la
seguridad de múltiples aspectos de las comunicaciones Bluetooth y proporciona
ejemplos de vulnerabilidades en esta tecnología, tan ampliamente utilizada en
dispositivos móviles y de bajo consumo.

Haciendo uso de un script en Python desde Linux es posible automatizar
las tareas necesarias para explotar una vulnerabilidad común en dispositivos
Bluetooth. Esta vulnerabilidad permite a cualquiera acceder al dispositivo
Bluetooth sin que este avise o notifique al propietario, es decir, de manera
totalmente silenciosa.

BlueSpy es una prueba de concepto realizada por Tarlogic que permite explotar vulnerabilidades presentes en auriculares
Bluetooth y espiar conversaciones privadas. 

La demostración se ha centrado en unos auriculares particulares de gama alta,
pero se ha evidenciado que existen auriculares de otros fabricantes que
también se encuentran afectados por la misma vulnerabilidad, ya que únicamente
es necesario que el dispositivo admita un emparejamiento de tipo
«JustWorks».

La herramienta BlueSpy, con el código y documentación, se encuentra publicada en el repositorio de GitHub de Tarlogic Security.

El contenido completo y análisis técnico se puede ver en el sitio de
Tarlogic
y
BSAM.



Source link

Los comentarios están cerrados.