Miliaran ponsel cerdas, tablet, laptop, dan perangkat IoT yang menggunakan perangkat lunak Bluetooth yang rentan terhadap kelemahan keamanan baru telah terungkap.
Dinamakan BLESA (Bluetooth Low Energy Spoofing Attack), kerentanan ini mempengaruhi perangkat yang menjalankan protokol Bluetooth Low Energy (BLE).
BLE adalah versi yang lebih ramping dari standar Bluetooth (Klasik) asli tetapi dirancang untuk menghemat daya baterai sambil menjaga koneksi Bluetooth tetap hidup selama mungkin.
Dalam sebuah proyek penelitian di Universitas Purdue, tim yang terdiri dari tujuh akademisi mulai menyelidiki bagian dari protokol BLE yang memainkan peran penting dalam operasi BLE sehari-hari tetapi jarang dianalisis untuk masalah keamanan.
Pekerjaan mereka berfokus pada proses “reconnection”. Operasi ini terjadi setelah dua perangkat BLE (klien dan server) telah mengautentikasi satu sama lain selama operasi pemasangan.
Tim peneliti Purdue mengatakan bahwa spesifikasi resmi BLE tidak mengandung bahasa yang cukup kuat untuk menggambarkan proses reconnection. Akibatnya, dua masalah sistemik telah masuk ke dalam implementasi perangkat lunak BLE, di rantai pasokan perangkat lunak:
Autentikasi selama penyambungan kembali perangkat adalah opsional, bukan wajib.
Autentikasi berpotensi dapat digagalkan jika perangkat pengguna gagal menerapkan perangkat IoT untuk mengotentikasi data yang dikomunikasikan.
Kedua masalah ini membiarkan pintu terbuka untuk serangan BLESA – di mana penyerang di sekitar melewati proses verifikasi sambungan ulang (reconnection) dan mengirimkan data palsu ke perangkat BLE dengan informasi yang salah, dan menyebabkan operator manusia dan proses otomatis membuat keputusan yang salah.
Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet
