Nieuwe gaten in beveiliging Bluetooth gemeld

Door één van de lekken kan een buitenstaander ongeautoriseerd toegang krijgen tot persoonlijke informatie die op de mobiele telefoon is opgeslagen, met name het adresboek en de agenda. Deze aanval, die A.L. Digital Snarf noemt, is normaal gesproken alleen mogelijk wanneer het Bluetooth-apparaat in zichtbare modus geschakeld staat, ofwel zichzelf bekendmaakt aan eventuele andere Bluetooth-apparaten in zijn omgeving. Bij een aantal telefoons blijkt een Snarf-aanval ook mogelijk wanneer het apparaat niet in zichtbare modus staat. Het tweede lek maakt het een buitenstaander mogelijk een achterdeurtje te openen op de mobiele telefoon waarlangs hij het geheugen kan uitlezen en waarschijnlijk ook misbruik kan maken van de diensten die de mobiele telefoon biedt. De aanvalsmethode vereist dat er eerst regulier contact wordt gelegd met een Bluetooth-apparaat. Dat contact wordt normaal gesproken getoond in een lijst met apparaten waarmee op een willekeurig moment contact wordt onderhouden, maar het blijkt in ieder geval op enkele Nokia-modellen mogelijk specifieke contacten uit die lijst te wissen. Voor de eigenaar van het aangevallen apparaat is dan niet duidelijk dat er contact bestaat met een nader toestel. AL Digital waarschuwt ook nog voor de praktijk van 'bluejacking'. Dit kan plaatsvinden in de eerste fase van het leggen van contact tussen Bluetooth-apparaten. Nog voor het feitelijk contact tot stand is gekomen, wisselen de apparaten hun naam uit. Daarvoor zijn in het protocol 248 karakters gereserveerd. Die overdaad aan ruimte wordt steeds vaker gebruikt om anonieme boodschappen uit te wisselen. Volgens A.L. Digital opent dat de weg naar het binnensmokkelen van ongewenste zaken, en kan men beter niet meegaan in die voortijdige uitwisseling van informatie. (jwy)