Um grupo de pesquisadores do ASSET Research Group, parte da Universidade de Tecnologia e Design de Singapura, anunciou a descoberta de uma dúzia de vulnerabilidades no protocolo Bluetooth Low Energy (Bluetooth LE) que colocam milhões de dispositivos em risco.
Coletivamente batizadas de SweynTooth, as vulnerabilidades são relacionadas a falhas nos kits de desenvolvimento de software (SDKs) fornecidos por sete fabricantes de chips Bluetooth : Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics e Telink Semiconductor.
Elas são divididas em três categorias: crashes, que podem forçar um dispositivo a reiniciar, deadlocks, que podem fazer um aparelho “travar” e ficar indisponível, e falhas de segurança , as mais críticas, que podem contornar controles de acesso e permitir a um malfeitor ler ou escrever informações que, de outra forma, não poderia acessar.
Leia também: Veja como escolher o modelo ideal de caixa de som com bluetooth
Segundo os pesquisadores, os chips afetados são usados em pelo menos 480 dispositivos diferentes, e representam um perigoso vetor de ataque contra muitos produtos de IoT (Internet of Things - Internet das Coisas ) lançados em 2018 e 2019.
Como exemplos eles citam as tomadas inteligentes Eve Energy, que podem ser forçadas a reiniciar, cortando alimentação dos dispositivos conectados a elas. Já as fechaduras inteligentes August Smart Lock são vulneráveis a execução de código remoto, o que permitiria a um malfeitor abrir a fechadura.
Leia também: LGPD passa a valer em agosto: lei irá mesmo proteger nossos dados?
A correção do problema é complexa. Os fabricantes dos chips devem lançar atualizações de segurança para suas SDKs, que têm que ser incorporadas ao firmware dos produtos afetados e então distribuídas aos usuários. Entretanto, nem todos os produtos têm o firmware atualizável. Isso significa que continuarão vulneráveis durante sua vida útil.
O nome SweynTooth é uma referência mitológica a Sweyn Forkbeard, filho do rei Harald Bluetooth , que deu nome ao protocolo. Segundo a lenda Sweyn se rebelou contra seu pai e forçou-o ao exílio, onde morreu logo depois. Da mesma forma, os pesquisadores temem que SweynTooth torne a tecnologia Bluetooth um “alvo fácil” para malfeitores, o que poderia fazer com que seja considerada insegura e obsoleta.