Hackeo de Bluetooth compromete Teslas, cerraduras digitales y más
Un grupo de investigadores de seguridad ha encontrado una forma de eludir las cerraduras digitales y otros sistemas de seguridad que dependen de la proximidad de un dispositivo Bluetooth o un teléfono inteligente para la autenticación.
Usando lo que se conoce como un "ataque de retransmisión de capa de enlace", la firma de consultoría de seguridad NCC Group pudo desbloquear, arrancar y conducir vehículos y desbloquear y abrir ciertas cerraduras residenciales inteligentes sin la llave basada en Bluetooth en cualquier lugar cercano.
Sultan Qasim Khan, el principal consultor de seguridad e investigador de NCC Group, demostró el ataque a un Tesla Model 3 , aunque señala que el problema no es específico de Tesla. Cualquier vehículo que use Bluetooth Low Energy (BLE) para su sistema de entrada sin llave sería vulnerable a este ataque.
Muchas cerraduras inteligentes también son vulnerables, agrega Khan. Su firma mencionó específicamente los modelos Kwikset/Weiser Kevo , ya que estos usan una función de tocar para abrir que se basa en la detección pasiva de un control remoto Bluetooth o un teléfono inteligente cercano. Dado que el propietario de la cerradura no necesita interactuar con el dispositivo Bluetooth para confirmar que desea desbloquear la puerta, un pirata informático puede transmitir las credenciales de Bluetooth de la llave desde una ubicación remota y abrir la puerta de alguien, incluso si el propietario está a miles de kilómetros de distancia.
Cómo funciona
Este exploit aún requiere que el atacante tenga acceso al dispositivo Bluetooth real o llavero del propietario. Sin embargo, lo que lo hace potencialmente peligroso es que la clave Bluetooth real no necesita estar cerca del vehículo, la cerradura u otros dispositivos seguros.
En cambio, las señales de Bluetooth se transmiten entre la cerradura y la llave a través de un par de dispositivos Bluetooth intermedios conectados mediante otro método, generalmente a través de un enlace de Internet normal. El resultado es que el bloqueo trata el dispositivo Bluetooth cercano del pirata informático como si fuera la clave válida.
Como explica Khan, “podemos convencer a un dispositivo Bluetooth de que estamos cerca de él, incluso a cientos de millas de distancia […] incluso cuando el proveedor ha tomado mitigaciones defensivas como el cifrado y el límite de latencia para proteger teóricamente estas comunicaciones de los atacantes a distancia. ”
El exploit pasa por alto las protecciones de ataque de retransmisión habituales, ya que funciona en un nivel muy bajo de la pila de Bluetooth, por lo que no importa si los datos están encriptados y casi no agrega latencia a la conexión. El bloqueo de destino no tiene forma de saber que no se está comunicando con el dispositivo Bluetooth legítimo.
Dado que muchas llaves de seguridad Bluetooth funcionan de forma pasiva, un ladrón solo necesitaría colocar un dispositivo a unos pocos pies del propietario y el otro cerca de la cerradura de destino. Por ejemplo, un par de ladrones podrían trabajar en conjunto para seguir al propietario de un Tesla lejos de su vehículo, transmitiendo las señales de Bluetooth al automóvil para que pueda ser robado una vez que el propietario esté lo suficientemente lejos.
Estos ataques podrían llevarse a cabo incluso a grandes distancias con suficiente coordinación. Una persona de vacaciones en Londres podría transmitir sus claves Bluetooth a las cerraduras de las puertas de su casa en Los Ángeles, lo que permitiría a un ladrón acceder rápidamente simplemente tocando la cerradura.
Esto también va más allá de los automóviles y las cerraduras inteligentes. Los investigadores señalan que podría usarse para desbloquear computadoras portátiles que dependen de la detección de proximidad Bluetooth, evitar que los teléfonos móviles se bloqueen, eludir los sistemas de control de acceso a edificios e incluso falsificar la ubicación de un activo o un paciente médico.
NCC Group también agrega que este no es un error tradicional que se puede solucionar con un simple parche de software. Ni siquiera es una falla en la especificación de Bluetooth. En cambio, se trata de usar la herramienta incorrecta para el trabajo. Bluetooth nunca se diseñó para la autenticación de proximidad, al menos no "para usar en sistemas críticos como mecanismos de bloqueo", señala la firma.
Cómo protegerse
Primero, es esencial tener en cuenta que esta vulnerabilidad es específica de los sistemas que se basan exclusivamente en la detección pasiva de un dispositivo Bluetooth.
Por ejemplo, este exploit no se puede usar de manera realista para eludir los sistemas de seguridad que requieren que desbloquee su teléfono inteligente, abra una aplicación específica o realice alguna otra acción, como presionar un botón en un llavero. En este caso, no hay señal de Bluetooth para transmitir hasta que realice esa acción, y generalmente no intentará desbloquear su automóvil, puerta o computadora portátil cuando no esté cerca.
Esto tampoco suele ser un problema para las aplicaciones que toman medidas para confirmar tu ubicación. Por ejemplo, la función de desbloqueo automático en el popular candado inteligente de agosto se basa en la detección de proximidad de Bluetooth, pero la aplicación también verifica su ubicación GPS para asegurarse de que realmente está regresando a casa. No se puede usar para desbloquear la puerta cuando ya está en casa, ni puede abrir la puerta cuando está a millas de distancia de su casa.
Si su sistema de seguridad lo permite, debe habilitar un paso de autenticación adicional que requiere que realice alguna acción antes de que las credenciales de Bluetooth se envíen a su candado. Por ejemplo, Kwikset ha dicho que los clientes que usan un iPhone pueden habilitar la autenticación de dos factores en su aplicación de bloqueo y planea agregar esto a su aplicación de Android pronto. La aplicación Kevo de Kwikset también desactiva la funcionalidad de desbloqueo por proximidad cuando el teléfono del usuario ha estado inmóvil durante un período prolongado.
Tenga en cuenta que las soluciones de desbloqueo que usan una combinación de Bluetooth y otros protocolos no son vulnerables a este ataque. Un ejemplo típico de esto es la función de Apple que permite a la gente desbloquear su Mac con su Apple Watch . Aunque inicialmente utiliza Bluetooth para detectar el Apple Watch cercano, mide la proximidad real a través de Wi-Fi, una mitigación que los ejecutivos de Apple dijeron específicamente que se agregó para evitar ataques de retransmisión de Bluetooth .
NCC Group ha publicado un aviso técnico sobre la vulnerabilidad de Bluetooth Low Energy y boletines separados sobre cómo afecta a los vehículos Tesla y las cerraduras Kwikset/Weiser .