फ्रांस के दक्षिण में यूरेकॉम विश्वविद्यालय के शोधकर्ताओं ने ब्लूटूथ की कमजोरियों की खोज की है और उनके लिए हमले विकसित किए हैं। तथाकथित "ब्लफ़्स" का उपयोग ब्लूटूथ सत्रों में सेंध लगाने, डिवाइस की पहचान को धोखा देने और बीच-बीच में हमलों को अंजाम देने के लिए किया जा सकता है।
यूरेकॉम शोधकर्ताओं द्वारा किए गए "ब्लफ्स" हमले कठिन हैं: वे ब्लूटूथ की संरचना में कमजोरियों पर भरोसा करते हैं। यूरेकॉम यूनिवर्सिटी के सहायक प्रोफेसर डेनियल एंटोनियोली ने ब्लूटूथ हमलों की संभावनाओं की खोज की है जो ब्लूटूथ मानक में पहले से अज्ञात कमजोरियों का फायदा उठाते हैं। कमजोरियाँ इस बात से संबंधित हैं कि विनिमय में डेटा को डिक्रिप्ट करने के लिए सत्र कुंजियाँ कैसे प्राप्त की जाती हैं।
ब्लूटूथ आर्किटेक्चर में कमजोरियाँ
पाए गए दोष हार्डवेयर या सॉफ़्टवेयर कॉन्फ़िगरेशन के लिए विशिष्ट नहीं हैं, बल्कि ब्लूटूथ की प्रकृति में वास्तुशिल्प हैं। समस्याओं को CVE-2023-24023 के तहत ट्रैक किया जाता है और ब्लूटूथ कोर विशिष्टता 4.2 से 5.4 तक प्रभावित होती है।
स्थापित वायरलेस संचार मानक के व्यापक उपयोग और शोषण से प्रभावित संस्करणों को देखते हुए, संभावित BLUFFS हमले लैपटॉप, स्मार्टफोन और अन्य मोबाइल उपकरणों सहित अरबों उपकरणों को लक्षित कर सकते हैं।
BLUFFS हमले इसी प्रकार काम करते हैं
BLUFFS हमलों में ब्लूटूथ सत्रों को बाधित करने के उद्देश्य से कारनामों की एक श्रृंखला शामिल है। इससे भविष्य में ब्लूटूथ कनेक्शन वाले उपकरणों के बीच गोपनीयता खतरे में पड़ जाएगी। इसे सत्र कुंजी व्युत्पत्ति प्रक्रिया में चार खामियों का फायदा उठाकर हासिल किया जाता है, जिनमें से दो नई हैं, ताकि एक छोटी, इसलिए कमजोर और पूर्वानुमानित सत्र कुंजी (एसकेसी) की व्युत्पत्ति को मजबूर किया जा सके। इसके बाद हमलावर क्रूर बल के हमलों के माध्यम से कुंजी को लागू करता है, जिससे पिछले संचार के डिक्रिप्शन के साथ-साथ भविष्य के संचार के डिक्रिप्शन या हेरफेर की अनुमति मिलती है। हमले को अंजाम देने के लिए आवश्यक है कि हमलावर दो लक्ष्यों की ब्लूटूथ सीमा के भीतर हो।
शोधकर्ताओं ने GitHub पर एक टूलकिट विकसित और साझा किया है जो BLUFFS की प्रभावशीलता को प्रदर्शित करता है। इसमें हमलों का परीक्षण करने के लिए एक पायथन स्क्रिप्ट, एआरएम पैच, पार्सर और उनके परीक्षण के दौरान कैप्चर किए गए पीसीएपी नमूने शामिल हैं। BLUFFS कमजोरियाँ दिसंबर 4.2 में जारी ब्लूटूथ 2014 और फरवरी 5.4 में जारी नवीनतम संस्करण, ब्लूटूथ 2023 तक के सभी संस्करणों को प्रभावित करती हैं।
Github.io पर और अधिक