Barcellona - Rinomato nella grande industria per le infinite possibilità di applicazione, il protocollo Bluetooth è ancora una volta messo sotto accusa: dopo l'
annuncio di una nuova vulnerabilità da parte di alcuni programmatori israeliani, un team di esperti appartenenti alla
crew catalana di
Infohacking ha reso pubblicamente disponibile un
programma considerato capace di stroncare qualsiasi connessione tra dispositivi Bluetooth.
Nessun telefono di ultima generazione sarebbe immune: dai PDA fino ai laptop, ogni tipo di
piconet basata su BlueTooth può essere immediatamente bloccata con una
tempesta di pacchetti. La vulnerabilità è stata messa a nudo tramite un semplice
Denial of Service (DoS). Una volta sorpassato un numero abbastanza limitato di connessioni, lo stack di Bluetooth va in overflow chiudendo qualsiasi comunicazione. Su alcuni palmari iPAQ, l'attacco causerebbe addirittura
danni irreversibili al sistema.
Stando ai risultati dei test pubblicati dagli scopritori del problema, l'attacco DoS in questione non risparmia neanche i cellulari con Bluetooth attivo in
modalità nascosta: quasi tutti i telefoni Nokia, smartphone inclusi, sarebbero vulnerabili anche se occultati. Armato di computer portatile, un malintenzionato - afferma la crew - potrebbe
inchiodare le comunicazioni Bluetooth all'interno di un raggio di
100 metri. Hugo Vázquez Caramés, mente di Infohacking, ha dichiarato di aver già avvertito i responsabili di
Nokia a riguardo dell'insicurezza. Uno specialista finlandese avrebbe ammesso che "il problema dipende direttamente dal design dell'hardware Bluetooth", di cui l'azienda finlandese ha semplicemente "seguito le specifiche". Il problema, dunque, potrebbe riguardare un numero davvero elevato di applicazioni della celebre tecnologia wireless.
La possibilità che un DoS blocchi l'utilizzo di un cellulare desta naturalmente un certo grado di allarme. Ma non si tratta di una questione del tutto nuova: il problema sarebbe noto già da tempo agli ingegneri impegnati nella ricerca sulle telecomunicazioni. Tuttavia, attacchi DoS basati sulla vulnerabilità sono stati finora condotti soltanto
in laboratorio.
Ora però il rischio aumenta: lo scriptino per eseguire il DoS è stato pubblicato in Rete da
Transient ISS. Il tool, incluso in una suite di strumenti per testare la sicurezza dei dispositivi mobili, è destinato a far prendere coscienza dell'
insicurezza intrinseca del sistema Bluetooth. Una mossa azzardata: il responsabile di Transient ammette di "essere un po' nervoso", nonostante la falla sia "talmente ovvia" che chiunque, in futuro, se ne sarebbe certamente accorto.
Tommaso Lombardi