Bluetooth (BLE): la tecnología que quizás no es tan segura como te creías

El equipo de H. Givehchian y N. Bhaskar de la UC de San Diego han presentado en el “2022 IEEE Symposium on Security and Privacy” una nueva metodología que supone una grave vulnerabilidad de la tecnología Bluetooth, integrada en todos los dispositivos móviles, y en la mayoría de los ordenadores, gracias a la cual un atacante podría rastrear los movimientos físicos de un dispositivo aprovechándose de las imperfecciones indefectibles de la capa hardware del chip que controla la tecnología Bluetooth.

Los dispositivos móviles que llevamos con nosotros a diario, como los teléfonos y relojes inteligentes, funcionan, en su amplia mayoría, como balizas de seguimiento inalámbricas. Estos dispositivos transmiten continuamente mensajes de corto alcance utilizando el protocolo Bluetooth Low Energy (BLE), indicando la proximidad a cualquier receptor pasivo dentro del alcance. Un ejemplo popular de balizas de este tipo es el rastreo electrónico de contactos COVID-19 proporcionado en los smartphones de Apple y Google.

Sin embargo, por su naturaleza, las balizas de seguimiento inalámbricas BLE tienen el potencial de introducir importantes riesgos para la privacidad. Por ejemplo, un atacante malicioso podría rastrear a un usuario colocando receptores cerca de los lugares que visite y luego registrar la presencia de la baliza BLE del usuario. Para hacer frente a estos problemas, las aplicaciones de proximidad BLE anonimizan y rotan periódicamente la identidad de un dispositivo móvil en sus balizas. La principal defensa de esta tecnología contra el rastreo es alterar, de una manera aleatoria, la dirección MAC del dispositivo.

Hasta el momento, se consideraba a este mecanismo de defensa como suficiente, sin embargo, H. Givehchian, N. Bhaskar y su equipo de la Universidad de California San Diego, han publicado un método a través del cual son capaces de identificar de manera individual a cada dispositivo móvil aprovechando las imperfecciones de la capa física de uno de los componentes del chip que controla el protocolo BLE, sorteando de esta forma la aleatorización de la dirección MAC y permitiendo generar una huella digital única para cada dispositivo, la cual puede ser usada de forma maliciosa para rastrear los movimientos de un dispositivo con estas características y, por lo tanto, del usuario que lo lleve encima.

¿Cómo han sido capaces de detectar esta grave vulnerabilidad qué nos afecta a todos?
Para mostrar su descubrimiento, estos investigadores diseñaron un caso de uso en el que un atacante quiere detectar el momento en que un usuario con un dispositivo móvil con señal Bluetooth se encuentra en una cierta ubicación especifica.
1 Givehchian, H., Bhaskar, N., Herrera, E. R., Soto, H. L., Dameff, C., Bharadia, D., & Schulman, A. (2022, Μάιος). Evaluating Physical-Layer BLE Location Tracking Attacks on Mobile Devices.2022 2022 IEEE Symposium on Security and Privacy (SP) (SP), 1, 507–521. doi:10.1109/SP46214.2022.00030

LEE  Cómo protegerse de un ataque DDoS

El primero de los pasos para este supuesto atacante sería identificar de forma univoca al dispositivo móvil del objetivo, para ello debe aislar al objetivo para capturar una huella digital de sus transmisiones inalámbricas y encontrar los atributos que identifiquen de forma exclusiva al objetivo, es decir, las características pertenecientes a la capa física del hardware del transmisor BLE del dispositivo que permitan identificarse de forma única.

A continuación, el atacante debería instalar un receptor en el lugar donde quiere comprobar si el dispositivo móvil del objetivo se encuentra y, de forma pasiva, poner el dispositivo en escucha. En el momento en el que el dispositivo del objetivo se acerque lo suficiente al receptor como para poder enviar la transmisión BLE, el receptor capturará las transmisiones que coincidan con la huella digital del objetivo. Además, cuanto más precisa sea la técnica de detección de huella digital, mejor podrá el atacante diferenciar el objetivo de otros dispositivos cercanos.

Como puede apreciarse, la parte novedosa y técnicamente compleja de este descubrimiento radica en la metodología necesaria para hallar una huella digital lo suficientemente precisa como para identificar en exclusiva cada uno de los dispositivos.


¿Cómo aislar la huella digital de un dispositivo móvil para poder rastrearla posteriormente?
Ya hemos visto que la tecnología BLE previene del rastreo de dispositivos mediante la aleatorización de direcciones MAC, por lo que esta vía queda descartada…


Para entender a fondo el método de extracción de huella digital presentado por el equipo norteamericano, es necesario conocer en profundidad la arquitectura típica de un chip BLE, lo cual queda fuera del contenido abarcable en este artículo, por lo que nos vamos a quedar con que esta obtención de huella digital se logra gracias a una serie de imperfecciones de la capa física, presentes en los chips desde el preciso momento en el que salen de la cadena de montaje, de cada uno de los elementos de la arquitectura interna del chip.

En concreto se trata de la misma serie de imperfecciones que poseen las transmisiones WiFi, pues en la mayor parte de dispositivos móviles, el chipset WiFi y el encargado de las transmisiones BLE es el mismo debido a la tendencia actual de hacer los móviles cada vez más finos y ligeros y, al compartir ciertos componentes estos dos medios de transmisión de información, se logra una importante reducción de espacio (y de costes).

Con el apoyo de investigaciones previas, este equipo ha demostrado que analizando las imperfecciones en el frontend I/Q del chip es suficiente para identificar una huella digital de los dispositivos de forma suficiente para que puedan ser empleados para rastrear efectivamente dispositivos móviles por parte de un atacante. Para ello desarrollaron dos métricas:

  • Desplazamiento de la frecuencia de la portadora (CFO): se trata de un desplazamiento en la frecuencia portadora generada por el oscilador local, uno de los componentes de la cadena RF (una cadena RF es una serie de componentes electrónicos utilizados en el campo de comunicación de señales). Lo ideal es que la frecuencia portadora sea 2, Exactamente la frecuencia central del canal en uso. Esta función corre a cargo del oscilador local, el cual está formado por una serie de cristales que son cortados en la cadena de montaje. Sin embargo, este corte se trata de un proceso que, si bien es exacto para el ojo humano, deja de serlo en cuanto descendemos al nivel microscópico. Esto produce diferentes tolerancias en cuanto a la oscilación producida por el cristal, pudiendo desviarse de manera ligera del valor real que debía producir. Esta imperfección se manifiesta como un CFO único (dependiente de las imperfecciones en el corte del cristal).
  • Imperfecciones I/Q: se trata de una métrica capaz de recoger el offset de I/Q y el desbalance I/Q. El primero de ellos proviene de una filtración de la frecuencia de transmisión en uno de los componentes del chip y de una variación en la potencia de la señal de banda base. Por su parte, el desbalance I/Q se produce debido a un desajuste entre los componentes de la cadena RF. Esto da lugar a una asimetría en la fase y la amplitud de las muestras I/Q recibidas, lo cual significa la capacidad de detectar dicha asimetría y asignarla de forma exclusiva a un determinado dispositivo, con lo que se habría hallado la huella digital de dicho terminal como se buscaba inicialmente para poder rastrear a una potencial víctima.
LEE  Guía para entender la Ley YouTube

En su artículo, H. Givehchian y N. Bhaskar son capaces de capturar la huella digital de ocho iPhones de última generación, así como 20 chipsets de microcontroladores ESP32 WiFi+BLE, usados ampliamente en los dispositivos Android y 20 chips TI CC2640-BLE integrados en dispositivos de bajo consumo como podrían ser los relojes inteligentes Smart Band. Analizando por lo tanto las singularidades obtenidas en las dos métricas explicadas en el párrafo anterior, fueron capaces de determinar, como se aprecia en el gráfico derecho, el dispositivo que se corresponde con los valores obtenidos con las mediciones realizadas

Sin embargo, no todo está perdido, y es que como explican en el citado artículo, la habilidad para identificar la huella digital de cierto dispositivo móvil depende de muchos factores que, a priori, están fuera del alcance del atacante, o al menos es muy complicado que sea capaz de controlarlos. Y es que para que este rastreo sea efectivo es necesario que la huella digital del dispositivo sea permanente en el tiempo, pero se ha comprobado que, con la técnica desarrollada, esta cambia a medida que lo hace la temperatura del dispositivo.

Por lo tanto un smartphone no poseerá la misma huella digital en estado de reposo que cuando el usuario del mismo se encuentre jugando, o hablando por teléfono, pues cada una de estas funciones impactan de diferente forma en el calentamiento del dispositivo, aunque el impacto de la temperatura en el CFO depende del ángulo de corte y de la cara del cristal, y es posible que los smartphones más punteros utilicen cristales de alta calidad que tengan menos desviación de la frecuencia debido a variaciones en la temperatura. Además, y tal y como se muestra en el gráfico superior, dispositivos de la misma marca, con similar fabricación, son más difíciles de diferenciar de forma exclusiva, por lo que puede ser otra traba a la hora de que un atacante intente detectar nuestro dispositivo en un contexto en el que, por ejemplo, todos los móviles de una cierta empresa sean el mismo modelo, algo para nada descabellado.

LEE  IoT: los nuevos riesgos de ciberseguridad y privacidad

No obstante, no podemos confiarnos, y es que no existe una forma fácil de defendernos de esta vulnerabilidad, pues para ello sería necesario repensar el diseño de la cadena de señales de un chipset BLE, lo que requeriría intervenir físicamente todos los dispositivos con este chip del mercado, una medida evidentemente irrealizable.
Además, el método de detección de huella digital de los dispositivos mencionados en este artículo puede ser mejorado por parte de los atacantes maliciosos, y es que nunca hay que desdeñar la capacidad del mal en el mundo de la ciberseguridad…

Artículo escrito por Manuel Suarez Román.

Las dos pestañas siguientes cambian el contenido a continuación.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education pertenece a la AACSB, a la AMBA, a la AEEN y a ANCED, entre otras organizaciones. Sus programas cuentan con el aval de ANECA, Cambridge y Oxford y la alta valoración de sus más de 110.000 alumnos. Está incluida en el Ranking The Best Global MBA 2018 y reconocida como Emagister Cum Laude desde 2015. Cuenta con los sellos de calidad EFQM 5star, Excelencia Europea, Madrid Excelente, ISO 9001 e ISO 14001. Escuela de Negocios Nº1 del mundo en el EFQM Global Index.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *