Bluetooth: quali vulnerabilità possono incidere sull'utilizzo di app come Immuni?

Quando abbiamo pubblicato il nostro articolo Come funziona Immuni e qual è il comportamento delle app anti Coronavirus dedicato al funzionamento delle app di proximity tracing per il monitoraggio della diffusione delle infezioni da Coronavirus (COVID-19) in tanti ci avete scritto manifestando timori per le vulnerabilità presenti in Bluetooth.

Le API di sistema fornite da Google ed Apple consentiranno alle app approvate dai singoli governi e dalle autorità sanitarie di interagire con il modulo Bluetooth e raccogliere in tempo reale token generati sui dispositivi mobili appartenenti ad altri soggetti coi quali si è fisicamente venuti a contatto.
Negli articoli Google ed Apple avviano la distribuzione delle API anti-Coronavirus e Rilasciate le API Google ed Apple per il tracciamento delle infezioni da Coronavirus abbiamo visto che la privacy sarà tutelata e che nessuna delle informazioni condivise permetterà di risalire al proprietario.

C’è però la legittima preoccupazione espressa da molti lettori: le API di Google, una volta che saranno utilizzate dalle app per il tracciamento della diffusione del virus COVID-19, come l’italiana Immuni, permetteranno il mantenimento del modulo Bluetooth sempre attivo. Le vulnerabilità scoperte nell’implementazione degli standard Bluetooth (non nella tecnologia Bluetooth in sé) non potrebbero essere sfruttate da qualche malintenzionato per far danni?
D’altra parte le stesse aziende che si occupano di sicurezza informatica consigliano da tempo immemore di mantenere disattivato il modulo Bluetooth quando non si utilizza o comunque quando non è necessario (vedere ad esempio Webroot).

“La vulnerabilità critica scoperta nelle implementazioni di Bluetooth e nota come “BlueFrag” sarà la più grande sfida per la sicurezza. Segnalata solo a febbraio 2020, la vulnerabilità non è stata ancora risolta su alcuni dispositivi Android. Il bug potrebbe permettere a un malintenzionato di eseguire codice arbitrario (sul dispositivo mobile altrui, n.d.r.) quando il modulo Bluetooth è abilitato“, si legge in questo articolo incentrato sulle relazioni tra le app di proximity tracking anti-Coronavirus e lo standard Bluetooth.
“Con l’adozione diffusa di applicazioni per il tracciamento dei contatti fisici basate sull’utilizzo del Bluetooth aumenterà anche il numero di dispositivi che tengono attivo il modulo Bluetooth così come il rischio relativo alle vulnerabilità esistenti“, si prosegue.

Ma le cose stanno veramente così?

Iniziamo col dire che le vulnerabilità più preoccupanti scoperte nelle implementazioni dello standard Bluetooth sono essenzialmente due: la prima è stata battezzata KNOB (CVE-2019-9506) e risale ad agosto 2019 (Bluetooth, rilasciate le patch per ridurre rischi di attacco); la seconda ha l’appellativo di Bluefrag (CVE-2020-0022) – ed è quella citata nell’articolo – è stata scoperta a febbraio 2020: Android, vulnerabilità nella gestione di Bluetooth può facilitare la diffusione di worm.

Diciamo che entrambe le problematiche di sicurezza sono già state tempestivamente risolte da parte di Google con il rilascio di aggiornamenti ufficiali per Android (versione AOSP, febbraio 2020).
I produttori di smartphone più solerti a risolvere i problemi di sicurezza dovrebbero quindi aver già risolto tutte e due le falle sui dispositivi degli utenti.
Un’app gratuita come SnoopSnitch, scaricabile dal Play Store di Google (ne abbiamo parlato nell’articolo Aggiornamento Android: come verificare la sicurezza del proprio dispositivo) consente di verificare che i produttori non mentano sul livello delle patch di sicurezza applicate sui rispettivi dispositivi Android.

Il consiglio è quindi quello di verificare che il proprio dispositivo Android sia aggiornato con le patch di sicurezza più recenti, comunque pari o successive a febbraio 2020: Antivirus Android: no, non è affatto inutile.
La voce Livello patch sicurezza Android di solito si trova nella sezione Informazioni sul telefono delle impostazioni del sistema operativo.

Tornando ai problemi di sicurezza, è davvero pericoloso – oggi – tenere costantemente attivo il modulo Bluetooth?

Fortunatamente, la risposta secca è “no”. In primis perché le varie vulnerabilità sono state risolte.
Per secondo, la vulnerabilità KNOB non è sfruttabile quando è attiva la modalità Bluetooth Low Energy, usata dalle applicazioni di proximity tracing come Immuni. Inoltre, nel caso di KNOB, lo smartphone non dovrebbe aver ricevuto aggiornamenti almeno dal 2018. Nel caso in cui il dispositivo fosse vulnerabile, un aggressore potrebbe riuscire a decodificare la chiave crittografica usata per proteggere le comunicazioni via Bluetooth.

Per quanto riguarda Bluefrag, un aggressore può addirittura riuscire a eseguire codice dannoso sull’altrui dispositivo ma:

1) Il codice potenzialmente nocivo verrebbe eseguito con gli stessi privilegi del sottosistema Bluetooth quindi non avrebbe massima libertà d’azione (vedere questa pagina).

2) La vulnerabilità Bluefrag non causa particolari problemi sui dispositivi Android 10 e successivi. Se sfruttata può al massimo provocare soltanto il crash del servizio che sovrintende il funzionamento del modulo Bluetooth.

3) Per quanto riguarda i dispositivi Android 8 e Android 9 ove non fosse stata installata la patch correttiva, un aggressore dovrebbe comunque tentare di risalire al MAC address della “vittima” (MAC address, cos’è e a che cosa serve). Per i primi 3 ottetti (la metà del MAC address) si possono ovviamente usare quelli dei produttori dei chip di rete usati negli smartphone più diffusi ma i successivi 3 ottetti debbono essere necessariamente o indovinati o desunti in qualche modo (ad esempio se il dispositivo della vittima fosse collegato allo stesso router WiFi o access point wireless usato dall’attaccante).

4) Sui dispositivi Android 8 e Android 9, come si vede analizzando il report di Insinuator, il dispositivo vulnerabile deve essere anche posto nell’apposita modalità usata per l’accoppiamento dei device Bluetooth. Una situazione non certo comune perché il procedimento viene avviato “una tantum” solo quando si devono abilitare le comunicazione con un impianto audio (in casa o in auto) oppure con altri dispositivi (cuffie, auricolari e similari).

5) Anche per Bluefrag Google ha immediatamente rilasciato una patch correttiva datata febbraio 2020.

Complessivamente, quindi, specie se ciascun utente tiene alla sicurezza dei propri device applicando con cura le patch via a via rilasciate, accantonando gli smartphone troppo vecchi che non ricevono da anni aggiornamenti (magari passando a una ROM non ufficiale affidabile: Aggiornamento Android, come effettuarlo quando sembra impossibile) non si verificherà alcun problema.