Un nuovo exploit legato alla connettività Bluetooth consente di tracciare alcuni dispositivi, inclusi quelli di Apple e Microsoft.
Secondo ZDNet, esiste una vulnerabilità di sicurezza all'interno del protocollo di comunicazione Bluetooth che consente non solo di tracciare alcuni dispositivi, ma anche di identificare i proprietari dei dispositivi. La scoperta è stata fatta da ricercatori dell'Università di Boston.
Per Apple, questo significa che l'exploit può tracciare e identificare iPhone, Mac, iPad e persino Apple Watch. Nel frattempo, da parte di Microsoft, include tablet e PC. Quali dispositivi non sono inclusi? Android di Google.
Il rapporto iniziale illustra in dettaglio come funziona, a partire dal fatto che i dispositivi Bluetooth utilizzano canali pubblici per presentare la loro presenza ad altri dispositivi. Nel tentativo di impedire il tracciamento basato su questo, la maggior parte dei dispositivi trasmette un indirizzo casuale che cambia automaticamente a intervalli casuali, che è diverso da un indirizzo MAC (Media Access Control).
Questo succede ancora su dispositivi Apple e Microsoft. Tuttavia, il rapporto indica che è possibile rivelare token identificativi che possono consentire ad alcune persone malintenzionate di abusare dell'algoritmo di trasferimento degli indirizzi che determina il cambio di indirizzo.
Secondo il documento di ricerca, Tracking Anonymized Bluetooth Devices (.PDF), molti dispositivi Bluetooth useranno gli indirizzi MAC quando pubblicizzano la loro presenza per impedire il monitoraggio a lungo termine, ma il team ha scoperto che è possibile aggirare in modo permanente la randomizzazione di questi indirizzi monitorare un dispositivo specifico.
I token di identificazione sono di solito in atto accanto agli indirizzi MAC e un nuovo algoritmo sviluppato dalla Boston University, chiamato algoritmo di trasferimento degli indirizzi, è in grado di "sfruttare la natura asincrona del payload e indirizzare le modifiche per ottenere il monitoraggio oltre la randomizzazione dell'indirizzo di un dispositivo".
Come per Android, non utilizza lo stesso approccio alla pubblicità di un dispositivo Bluetooth come Apple e Microsoft. Di conseguenza, Android non è in pericolo di questa particolare vulnerabilità.
Lo stesso documento di ricerca contiene suggerimenti su come mitigare la vulnerabilità ed è possibile che Apple risolva il problema in un modo o nell'altro nel prossimo futuro.