martedì 3 marzo 2020

FDA, vulnerabilità SweynTooth in dispositivi Bluetooth LE: attenzione


Altri problemi per la tecnologia Bluetooth. Dopo l'allarme lanciato riguardo una vulnerabilità del protocollo Bluetooth su Android, la nuova emergenza riguarda il software di gestione del protocollo utilizzato sui System on a Chip (SOC) implementati nei dispositivi che sfruttano lo standard Bluetooth® Low Energy (BLE). Il protocollo BLE consente a due dispositivi di "accoppiarsi" e scambiarsi informazioni per svolgere le funzioni previste preservando la durata della batteria e può essere trovato in dispositivi medici e in altri device, come dispositivi indossabili di consumo e dispositivi Internet of Things (IoT).

La tecnologia BLE è la stessa che verrà utilizzata dall'app "IMMUNI" per la gestione del contact tracing (ordinanza 10/2020) nella Fase 2 dell'emergenza coronavirus. Le dodici vulnerabilità, indicate complessivamente con il nome di "SweynTooth", sono state scoperte e divulgate dai ricercatori dell'Università di Tecnologia e Design di Singapore (SUTD). Questi difetti sono stati rilevati in vari Kit di Sviluppo Software (SDK) Bluetooth Low Energy di sette fornitori di sistemi su chip. Secondo i ricercatori, gli SDK vulnerabili sono stati utilizzati in oltre 480 prodotti finali. Queste vulnerabilità di sicurezza informatica possono consentire a un utente non autorizzato di arrestare il dispositivo in modalità wireless, impedirne il funzionamento o accedere alle funzioni dello stesso dispositivo normalmente disponibili soltanto per l'utente autorizzato.

A causa del gran numero di problemi di SweynTooth scoperti e dei loro rischi e impatti sui dispositivi medici, la Food and Drug Administration (FDA) degli Stati Uniti ha pubblicato un comunicato di sicurezza e tiene attivamente sotto controllo i potenziali attacchi SweynTooth. Come si può leggere sul sito Web dedicato, si tratta di dispositivi "smart" di ogni genere, tra cui braccialetti per il monitoraggio dell'attività fisica come FitBit, device per il monitoraggio degli animali domestici, serrature elettroniche, sistemi di domotica come quelli d'illuminazione e qualsiasi altro dispositivo "intelligente" che utilizza la tecnologia Bluetooth LE. La FDA non è a conoscenza di eventi avversi confermati relativi a queste vulnerabilità. Tuttavia, il software per sfruttare queste vulnerabilità in determinate situazioni è disponibile al pubblico. 

La FDA è attualmente a conoscenza (al 3 marzo 2020) di numerosi produttori di microchip che sono interessati da queste vulnerabilità : Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics e Telink Semiconductor. I ricercatori hanno classificato le vulnerabilità di SweynTooth in base ai loro tipi e comportamenti sul dispositivo interessato. 1. Arresto anomalo: vulnerabilità che possono causare l'arresto anomalo in remoto di un dispositivo innescando guasti gravi, sfruttando comportamenti errati del codice o danneggiamento della memoria. 2. Deadlock: vulnerabilità che influiscono sulla disponibilità della connessione BLE senza causare un errore grave o un danneggiamento della memoria, che richiede il riavvio manuale del dispositivo per ristabilire una comunicazione BLE corretta. 

3. Bypass di sicurezza: la vulnerabilità più critica, che consente agli aggressori nel raggio radio di bypassare la modalità di accoppiamento sicuro di BLE e ottenere un accesso in lettura o scrittura arbitrario alle funzioni del dispositivo. La maggior parte dei fornitori interessati hanno già rilasciato patch di sicurezza per i propri SDK. Si consiglia vivamente di aggiornare all'ultima versione dell'SDK se il prodotto è interessato. I produttori di dispositivi medici stanno già valutando quali dispositivi potrebbero essere interessati da SweynTooth e stanno identificando le azioni di rischio e di riparazione. Inoltre, diversi produttori di microchip hanno già rilasciato patch. Per ulteriori informazioni sulle vulnerabilità di cibersicurezza di SweynTooth, incluso un elenco dei dispositivi interessati, consultare questa pagina.





Nessun commento:

Posta un commento