Un nuevo exploit vinculado a la conectividad Bluetooth permite rastrear algunos dispositivos, incluidos los de Apple y Microsoft.
De acuerdo a ZDNet, Existe una vulnerabilidad de seguridad dentro del protocolo de comunicación Bluetooth que hace posible no solo rastrear algunos dispositivos, sino también identificar a los propietarios de los dispositivos. El descubrimiento fue realizado por investigadores de la Universidad de Boston..
Para Apple, esto significa que el exploit puede rastrear e identificar los iPhones, Macs, iPads e incluso el Apple Watch. Mientras tanto, del lado de las cosas de Microsoft, incluye tabletas y PC. ¿Qué dispositivos no están incluidos? Android de Google.
El informe inicial detalla cómo funciona todo, que comienza con el hecho de que los dispositivos Bluetooth utilizan canales públicos para presentar su presencia a otros dispositivos. En un esfuerzo por evitar el seguimiento basado en esto, la mayoría de los dispositivos transmiten una dirección aleatoria que cambia automáticamente a intervalos aleatorios, que es diferente a una dirección de Control de acceso a medios (MAC).
Esto todavía está sucediendo en dispositivos Apple y Microsoft. Sin embargo, el informe indica que es posible revelar tokens de identificación que pueden permitir que algunas personas malintencionadas hagan un mal uso del algoritmo de transferencia de dirección que dicta el cambio de dirección.
Según el trabajo de investigación, Tracking Anonymized Bluetooth Devices (.PDF), muchos dispositivos Bluetooth usarán direcciones MAC cuando anuncien su presencia para evitar el seguimiento a largo plazo, pero el equipo descubrió que es posible eludir la asignación al azar de estas direcciones de forma permanente monitorear un dispositivo específico.
Los tokens de identificación generalmente están en su lugar junto con las direcciones MAC y un nuevo algoritmo desarrollado por la Universidad de Boston, llamado algoritmo de transferencia de direcciones, puede "explotar la naturaleza asincrónica de la carga útil y los cambios de dirección para lograr el seguimiento más allá de la aleatorización de direcciones de un dispositivo".
En cuanto a Android, no utiliza el mismo enfoque para anunciar un dispositivo Bluetooth que Apple y Microsoft. Como resultado, Android no está en peligro de esta vulnerabilidad particular.
El documento de investigación en sí tiene sugerencias sobre cómo mitigar la vulnerabilidad, y es posible que Apple solucione el problema de una forma u otra en un futuro cercano..