Un nouvel exploit lié à la connectivité Bluetooth permet de suivre certains appareils, notamment ceux d'Apple et de Microsoft.
Selon ZDNet, il existe une vulnérabilité de sécurité dans le protocole de communication Bluetooth qui permet non seulement de suivre certains appareils, mais également d'identifier les propriétaires d'appareils. La découverte a été faite par des chercheurs de l'Université de Boston.
Pour Apple, cela signifie que l'exploit peut suivre et identifier les iPhones, Mac, iPad et même l'Apple Watch. Pendant ce temps, du côté de Microsoft, cela inclut les tablettes et les PC. Quels appareils ne sont pas inclus? Android de Google.
Le rapport initial détaille comment tout cela fonctionne, ce qui commence par le fait que les appareils Bluetooth utilisent des canaux publics pour présenter leur présence à d'autres appareils. Afin d'éviter le suivi basé sur cela, la plupart des appareils diffusent une adresse aléatoire qui change automatiquement à des intervalles aléatoires, ce qui est différent d'une adresse MAC (Media Access Control).
Cela se produit toujours sur les appareils Apple et Microsoft. Cependant, le rapport indique qu'il est possible de révéler des jetons d'identification qui peuvent permettre à certaines personnes malveillantes d'utiliser abusivement l'algorithme de transfert d'adresse qui dicte le changement d'adresse.
Selon le document de recherche, Tracking Anonymized Bluetooth Devices (.PDF), de nombreux appareils Bluetooth utiliseront des adresses MAC lors de la publicité de leur présence pour empêcher le suivi à long terme, mais l'équipe a constaté qu'il était possible de contourner la randomisation de ces adresses de manière permanente surveiller un appareil spécifique.
Les jetons d'identification sont généralement en place aux côtés des adresses MAC et un nouvel algorithme développé par l'Université de Boston, appelé algorithme de transfert d'adresse, est capable «d'exploiter la nature asynchrone de la charge utile et des changements d'adresse pour réaliser un suivi au-delà de la randomisation d'adresse d'un appareil».
Quant à Android, il n'utilise pas la même approche pour la publicité d'un appareil Bluetooth que Apple et Microsoft. En conséquence, Android n'est pas en danger de cette vulnérabilité particulière.
Le document de recherche lui-même contient des suggestions sur la façon d'atténuer la vulnérabilité, et il est possible qu'Apple corrige le problème d'une manière ou d'une autre dans un avenir proche.
