Bluetooth-apparaten zijn kwetsbaar voor een nieuwe spoofingaanval genaamd BLESA, waardoor een aanvaller foutieve of kwaadaardige data naar een apparaat kan sturen. Mogelijk zouden meer dan 1 miljard bluetooth-apparaten en 16.000 apps kwetsbaar zijn, aldus onderzoekers van de Purdue University.

BLESA staat voor BLE Spoofing Attack en maakt misbruik van kwetsbaarheden in de "reconnection" procedure tussen twee eerder gepairde bluetooth low energy (BLE)-apparaten. Geregeld komen gepairde bluetooth-apparaten buiten elkaars bereik. Zodra de apparaten weer in elkaars buurt komen wordt de verbinding automatisch hersteld. De onderzoekers besloten naar deze procedure te kijken. Bij eerdere onderzoeken zou dit onderdeel van bluetooth namelijk geen aandacht hebben gekregen.

Het onderzoek leverde twee ontwerpfouten in BLE op. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren en IoT-apparaten maken er gebruik van. Bij sommige van de BLE-apparaten is de authenticatie tijdens de reconnection optioneel in plaats van verplicht. Bij andere apparaten blijkt dat de authenticatie is te omzeilen wanneer het apparaat van de gebruiker het bluetooth-apparaat niet dwingt om de uitgewisselde data te authenticeren.

Zodoende kan een aanvaller zich voordoen als het bluetooth-apparaat waarmee de gebruiker bijvoorbeeld via zijn telefoon verbinding maakt. Vervolgens zijn verschillende soorten aanvallen mogelijk. Zo kunnen er kwaadaardige toetsaanslagen naar de smartphone of desktop worden verstuurd wanneer die met een bluetooth-keyboard opnieuw verbinding maken. Een andere mogelijkheid is om een verkeerde bloedsuikerspiegel weer te geven wanneer de gebruiker via zijn smartphone data van een bloedsuikermeetapparaat uitleest. Een derde aanval die de onderzoekers noemen is het versturen van valse fitnessgegevens wanneer de gebruiker opnieuw verbinding maakt met zijn fitnesstracker.

"Deze kwetsbaarheid heeft een grote impact op de mainstreamplatformen die BLE-communicatie ondersteunen, waaronder Linux, Android en iOS", zegt onderzoeker Jianliang Wu. "Volgens recent onderzoek maken meer dan 1 miljard BLE-apparaten geen gebruik van applicatielaagbeveiliging, wat als een tweede verdedigingslinie kan dienen." Wu voegt toe dat zeker 8.000 Android BLE-apps met 2,38 miljard installaties de data van BLE-apparaten in plaintext lezen. Mogelijk is de situatie bij iOS-apps hetzelfde, merkt de onderzoeker op.

De onderzoekers waarschuwden Apple en Google. Apple heeft het probleem in juni via iOS 13.4 en iPadOS 13.4 verholpen, zo meldt de universiteit in een persbericht. Het Androidtoestel van de onderzoekers is nog altijd kwetsbaar, zo schrijven ze in het onderzoeksrapport. In onderstaande video wordt de aanval gedemonstreerd.