Bluetooth 6.1: più privacy e autonomia grazie agli indirizzi RPA randomizzati

Bluetooth Special Interest Group (SIG) ha annunciato Bluetooth 6.1, le nuove specifiche del noto standard tecnico-industriale che introducono miglioramenti significativi orientati alla privacy degli utenti e all’efficienza energetica dei dispositivi. Tra le novità di maggiore impatto vi è l’evoluzione del meccanismo degli indirizzi RPA (Resolvable Private Address), fondamentali per mitigare il tracciamento indesiderato tramite Bluetooth.

Cos’è RPA e perché è importante

Nel protocollo Bluetooth, un RPA è un indirizzo temporaneo che sostituisce il MAC fisso del dispositivo durante le comunicazioni. I dispositivi fidati possono riconoscere il RPA e ristabilire la connessione senza svelare il vero indirizzo MAC, mentre eventuali soggetti esterni non possono identificarlo facilmente.

Il fatto di usare un indirizzo temporaneo migliora evidentemente la privacy: l’indirizzo MAC è associato all’interfaccia di rete, è assegnato dal produttore e non cambia mai. Può essere quindi utilizzato per identificare univocamente uno stesso utente tra una sessione e l’altra. Già in passato il Garante Privacy italiano riconosceva come l’indirizzo MAC sia dato personale.

Fino a Bluetooth 6.0, tuttavia, i RPA erano aggiornati a intervalli fissi (tipicamente ogni 15 minuti). Un approccio che ingenerava l’utilizzo di schemi prevedibili e quindi vulnerabili ad attacchi di tipo correlation attack, rendendo possibile il tracciamento di uno stesso dispositivo.

RPA randomizzati: come funziona la novità in Bluetooth 6.1

Le specifiche di Bluetooth 6.1 introducono una gestione più sofisticata dei RPA, che ora sono aggiornati in modo pseudo-casuale, con un intervallo compreso tra 8 e 15 minuti (valore predefinito), oppure configurabile tra 1 secondo e 1 ora.

Il valore temporale per l’aggiornamento è determinato tramite un generatore di numeri casuali conforme con gli standard NIST, garantendo un’elevata entropia e rendendo molto più difficile correlare gli indirizzi.

Il risultato è una protezione molto più solida contro il tracciamento, soprattutto nei contesti urbani o commerciali in cui è più probabile che siano utilizzati strumenti di raccolta dati Bluetooth.

Efficienza energetica migliorata: RPA gestito dal controller

Oltre alla privacy, il nuovo approccio ha effetti positivi anche in termini di efficienza energetica. In Bluetooth 6.1, è il controller Bluetooth (il chip) a gestire in autonomia l’aggiornamento degli indirizzi RPA, senza coinvolgere il sistema operativo o la CPU sottostante.

Questa autonomia evita inutili cicli di risveglio del dispositivo, riducendo il consumo di energia e aumentando la durata della batteria. Per dispositivi a basso consumo come fitness tracker, auricolari wireless, sensori IoT e dispositivi medici indossabili, si tratta di un’ottimizzazione significativa.

Tempistiche di adozione: la realtà della transizione

Nonostante le novità siano tecnicamente disponibili nella specifica, la diffusione su larga scala di Bluetooth 6.1 richiederà del tempo. I primi chip compatibili sono attesi non prima del 2026, e inizialmente potrebbero supportare solo parzialmente le nuove funzionalità.

L’adozione a livello di sistema operativo, driver e stack Bluetooth dipenderà anche dal grado di priorità che produttori e sviluppatori attribuiranno a queste migliorie.

Nel complesso, comunque, Bluetooth 6.1 rappresenta un passo importante verso un ecosistema wireless più rispettoso della privacy e più efficiente dal punto di vista energetico. L’introduzione della randomizzazione degli indirizzi RPA è un’evoluzione che risponde in modo concreto alle preoccupazioni sulla tracciabilità degli utenti, e lo fa con una soluzione elegante, conforme agli standard di sicurezza.

Credit immagine in apertura: iStock.com – spawns