Bluetooth sérülékenység
A Bluetooth technológiában nemrégiben azonosított, CVE-2020-26558 néven azonosított sérülékenység jelentős biztonsági kockázatot jelent a különböző Bluetooth Core specifikációkat támogató eszközök számára. Ez az „Impersonation in the Passkey Entry Protocol” néven ismert hiba a BR/EDR Secure Simple Pairing, Secure Connections Pairing és LE Secure Connections Pairing társítási modelljét használó eszközöket érinti. A hiba a Bluetooth Core specifikációkban van jelen, a BR/EDR 2.1-től 5.4-ig terjedő verzióig a BR/EDR és a LE Secure Connections 4.2-től 5.4-ig terjedő verzióig. A hiba lehetővé teszi, hogy egy MITM (man-in-the-middle) támadó kihasználja a párosítási folyamatot azáltal, hogy a kezdeményező eszköznek olyan nyilvános kulccsal válaszol, amelynek X-koordinátája megegyezik a partnereszközével. A támadó hamisított válaszok segítségével meghatározhatja a párosítási munkamenet során használt passkey-t, ami hitelesített párosítási eljáráshoz vezet mind a kezdeményező, mind a válaszadó eszközzel. Ahhoz, hogy a sérülékenységet ki lehessen használni, a támadónak két sérülékeny Bluetooth-eszköz hatótávolságán belül kell lennie, amelyek párosítást kezdeményeznek.
