นักวิจัยจาก Israel Institute of Technology พบว่ามาตรฐาน Bluetooth สำหรับการเชื่อมต่อ Secure Simple Pairing ระบุว่า "แนะนำ" ให้ซอฟต์แวร์ตรวจสอบกุญแจก่อนยอมรับ แต่ไม่ได้บังคับ ทำให้ผู้ผลิตจำนวนมากไม่ได้อิมพลีเมนต์โค้ดส่วนนี้ และเมื่อตรวจสอบดูพบว่าอุปกรณ์จำนวนมาก สามารถถูกยิงกุญแจที่ไม่ถูกต้องจนกระทั่งได้ค่า session key ไป ทำให้แฮกเกอร์ดักฟังการเชื่อมต่อได้ในที่สุด

โครงการต่างๆ ได้รับการติดต่อไปตั้งแต่ต้นปีที่ผ่านมา โดยทั้ง iOS และแอนดรอยด์ได้รับผลกระทบ แพตช์ของแอนดรอยด์ออกมาตั้งแต่เดือนมิถุนายน ส่วน iOS ออกมาเดือนกรกฎาคมที่ผ่านมา ดังนั้นตอนนี้หากใครได้รับอัพเดตความปลอดภัยล่าสุดก็น่าจะปลอดภัยกันแล้ว

ทาง Bluetooth SIG ปรับแก้มาตรฐานให้บังคับตรวจสอบกุญแจสาธารณะเสมอ และจะนำประเด็นนี้อยู่ในชุดทดสอบ Bluetooth Qualification Program อีกทางหนึ่ง อย่างไรก็ดีตอนนี้ไม่มีรายงานว่ามีการโจมตีในโลกความเป็นจริงแต่อย่างใด

ที่มา - CERT, Bluetooth SIG

ภาพโดย EsaRuitta