ब्लूटूथ के बारे में कई मिथक और भ्रांतियां तैर रही हैं। 1989 से यह कई पुनरावृत्तियों से गुज़रा है, और कई समस्याएं जो उस समय मौजूद थीं, अब अप्रासंगिक हैं।
लेकिन प्रत्येक नए पुनरावृत्ति में नए सुरक्षा छेद और कमजोरियों की संभावना भी होती है, इसलिए यह सोचना गलत होगा कि ब्लूटूथ अब सुरक्षित है। ऐसा नहीं है।
हम ब्लूटूथ को पूरी तरह से छोड़ने की अनुशंसा नहीं करते हैं। आखिरकार, यह कई मायनों में उपयोगी है। उदाहरण के लिए, ब्लूटूथ स्पीकर बहुत सुविधाजनक होते हैं, ब्लूटूथ मोबाइल कनेक्टिविटी को बढ़ाता है, और इसके कई लाभ हैं जिनका लाभ उठाया जा सकता है।
हम केवल इतना कह रहे हैं कि आपको जोखिमों से अवगत होना चाहिए। ब्लूटूथ का उपयोग करते समय स्वयं को सुरक्षित और सुरक्षित रखने के लिए यही करना है।
1. सुरक्षित कनेक्शन पर्याप्त नहीं हैं
जब 2007 में ब्लूटूथ 2.1 जारी किया गया था, तो इसने सिक्योर सिंपल पेयरिंग (SSP) नामक एक नई सुरक्षा सुविधा पेश की थी। . कोई भी उपकरण जो ब्लूटूथ 2.0 या पूर्व का उपयोग करता है, एसएसपी का समर्थन नहीं करता है और इसलिए पूरी तरह से असुरक्षित है। कहा जा रहा है, यहां तक कि वे डिवाइस भी जो करते हैं SSP का उपयोग सुरक्षित होने की गारंटी नहीं है।
यह पता चला कि ब्लूटूथ 2.1 (पिछले संस्करणों में इस्तेमाल किया गया एक ही एन्क्रिप्शन एल्गोरिदम) में इस्तेमाल किया गया एन्क्रिप्शन एल्गोरिदम स्वयं असुरक्षित था, जिससे ब्लूटूथ 4.0 में एक नया एन्क्रिप्शन एल्गोरिदम (एईएस-सीसीएम) पेश किया गया, लेकिन यहां तक कि इस एल्गोरिदम में शोषक दोष साबित हुए क्योंकि इसमें एसएसपी शामिल नहीं था।
फिर हमने ब्लूटूथ 4.1 युग में प्रवेश किया, जिसमें सुरक्षित कनेक्शन . नामक एक नई सुविधा जोड़ी गई गैर-एलई ब्लूटूथ उपकरणों के लिए, और फिर ब्लूटूथ 4.2 युग, जिसने एलई ब्लूटूथ डिवाइसों में उसी सुविधा को जोड़ा। इसलिए ब्लूटूथ 4.2 से शुरू होकर, सभी नए ब्लूटूथ डिवाइस एसएसपी और एईएस-सीसीएम एन्क्रिप्शन दोनों का समर्थन करते हैं। अच्छा लगता है, है ना?
काफी नहीं। समस्या यह है कि एसएसपी की छत्र अवधि के तहत चार अलग-अलग युग्मन विधियां हैं...
- संख्यात्मक तुलना
- बस काम करता है
- आउट-ऑफ़-बैंड
- पासकी प्रविष्टि
...और इनमें से प्रत्येक की अपनी खामियां हैं:संख्यात्मक तुलना के लिए एक प्रदर्शन की आवश्यकता होती है (सभी उपकरणों में एक नहीं होता है), जबकि Just Works हमलों और शोषण के प्रति संवेदनशील होता है। आउट-ऑफ-बैंड को संचार के लिए एक अलग चैनल की आवश्यकता होती है (सभी डिवाइस इसका समर्थन नहीं करते हैं) और पासकी एंट्री के खिलाफ (कम से कम इसकी वर्तमान स्थिति में) छिपाया जा सकता है।
उफ़.
आप इसके बारे में क्या कर सकते हैं? उन उपकरणों से कनेक्ट करने से बचें जो ब्लूटूथ के पुराने संस्करणों का उपयोग करते हैं (इस लेखन के अनुसार, इसका मतलब है कि 4.2 मानक से पहले का कोई भी उपकरण)। इसी तरह, अपने सभी ब्लूटूथ डिवाइस के फर्मवेयर को नवीनतम संस्करण में अपग्रेड करें। यदि यह संभव नहीं है, तो उन उपकरणों को त्याग दें या अपने जोखिम पर उपयोग करें।
2. कई अटैक वेक्टर अभी भी मौजूद हैं
ऊपर उल्लिखित सुरक्षा भेद्यता केवल एक ही नहीं है जो अभी भी ब्लूटूथ उपकरणों के लिए मौजूद है। वास्तविकता यह है कि ब्लूटूथ के पिछले संस्करणों में मौजूद कई अटैक वैक्टर अभी भी मौजूद हैं - वे अलग-अलग तरीकों से निष्पादित होते हैं।
- सुनकर सुनना - एक हमलावर संचरण में ब्लूटूथ डेटा के लिए हवा को सूंघ सकता है और, सही कमजोरियों का फायदा उठाकर, उस डेटा को पढ़ और/या सुन सकता है। उदाहरण के लिए, यदि आप ब्लूटूथ हेडसेट के साथ फ़ोन पर बातचीत कर रहे हैं, तो कोई संभावित रूप से सुन सकता है।
- ब्लूस्नारफिंग - एक बार डिवाइस के युग्मित हो जाने के बाद, एक हमलावर आपके ब्लूटूथ डिवाइस से जानकारी तक पहुंच और चोरी कर सकता है। कनेक्शन आमतौर पर आपकी जानकारी के बिना किया जाता है, जिसके परिणामस्वरूप संपर्क जानकारी, फ़ोटो, वीडियो, कैलेंडर ईवेंट और बहुत कुछ चोरी हो जाता है।
- ब्लूबगिंग -- एक हमलावर आपके डिवाइस के विभिन्न पहलुओं को दूर से भी नियंत्रित कर सकता है. आउटगोइंग कॉल और टेक्स्ट भेजे जा सकते हैं, इनकमिंग कॉल और टेक्स्ट फॉरवर्ड किए जा सकते हैं, सेटिंग्स बदली जा सकती हैं, और स्क्रीन और कीप्रेस देखे जा सकते हैं, आदि।
- सेवा से इनकार - एक हमलावर आपके डिवाइस को बकवास डेटा से भर सकता है, संचार को अवरुद्ध कर सकता है, बैटरी जीवन समाप्त कर सकता है, या यहां तक कि आपके डिवाइस को पूरी तरह से क्रैश कर सकता है।
ये हमले किसी भी डिवाइस को प्रभावित कर सकते हैं जो सक्रिय रूप से ब्लूटूथ का उपयोग कर रहा है, जिसमें हेडसेट, स्पीकर, कीबोर्ड, चूहों और सबसे महत्वपूर्ण स्मार्टफोन शामिल हैं।
आप इसके बारे में क्या कर सकते हैं? यदि आप अपने डिवाइस के लिए ब्लूटूथ पासवर्ड बदल सकते हैं (फ़ोन, टैबलेट, स्मार्टवॉच आदि पर संभव) तो तुरंत ऐसा करें, सुनिश्चित करें कि आप एक सुरक्षित पिन चुनते हैं! यह कुछ अटैक वैक्टरों के खिलाफ कम कर सकता है, लेकिन आपके ब्लूटूथ को अक्षम रखने के लिए एकमात्र गारंटीकृत सुरक्षा है।
एक साइड नोट के रूप में, यदि आप इस बारे में संशय में हैं कि ब्लूटूथ कितना असुरक्षित है, तो देखें कि कितनी ब्लूटूथ भेद्यताएं अभी भी मौजूद हैं!
3. छुपे होने पर भी, आपको ढूंढा जा सकता है
ब्लूटूथ 4.0 में लो एनर्जी ट्रांसमिशन के आगमन का व्यापक रूप से स्वागत किया गया, मुख्यतः क्योंकि इसने उपकरणों को अधिक बैटरी जीवन की अनुमति दी। लेकिन एलई ब्लूटूथ क्लासिक ब्लूटूथ की तरह ही असुरक्षित है, अगर ऐसा नहीं है।
ब्लूटूथ के बारे में बात यह है कि सक्रिय होने पर, यह लगातार सूचनाओं को प्रसारित करता है ताकि आस-पास के उपकरणों को इसकी उपस्थिति के लिए सतर्क किया जा सके। यह वही है जो ब्लूटूथ को पहली बार में उपयोग करने के लिए इतना सुविधाजनक बनाता है।
समस्या यह है कि इस प्रसारण जानकारी में अलग-अलग उपकरणों के लिए विशिष्ट विवरण भी शामिल हैं, जिसमें सार्वभौमिक रूप से विशिष्ट पहचानकर्ता (UUID) नामक कुछ भी शामिल है। . इसे प्राप्त सिग्नल शक्ति संकेतक (RSSI) . के साथ संयोजित करें , और आपके डिवाइस की गतिविधियों को देखा और ट्रैक किया जा सकता है।
अधिकांश लोग सोचते हैं कि ब्लूटूथ डिवाइस को "अनदेखे" पर सेट करना वास्तव में इसे इस तरह के सामान से छिपा देता है, लेकिन यह सच नहीं है। जैसा कि Ars Technica ने हाल ही में साबित किया है, ऐसे ओपन-सोर्स टूल हैं जो आपको अनदेखा करते हुए भी सूंघ सकते हैं। ओह।
<ब्लॉकक्वॉट>मेरा नया पड़ोसी अपने फोन से कुछ फाइलों को अपने आईमैक में स्थानांतरित करने के लिए एयरड्रॉप का उपयोग कर रहा था। मैंने अभी तक अपना परिचय नहीं दिया था, लेकिन मैं उसका नाम पहले से जानता था। इस बीच, कंकड़ घड़ी वाला कोई व्यक्ति चल रहा था, और "जॉनी बी" नाम का कोई व्यक्ति अपने वोक्सवैगन बीटल के कोने पर स्टॉपलाइट पर अपने गार्मिन नुवी के निर्देशों का पालन करते हुए निष्क्रिय था। एक अन्य व्यक्ति पास की दुकान पर अपने iPad के साथ Apple पेंसिल का उपयोग कर रहा था। और किसी ने अपना सैमसंग स्मार्ट टेलीविजन चालू कर दिया। मुझे यह सब पता था क्योंकि प्रत्येक व्यक्ति ने अपनी उपस्थिति को वायरलेस तरीके से विज्ञापित किया था ... और मैं ब्लू हाइड्रा नामक एक ओपन सोर्स टूल चला रहा था।
आप इसके बारे में क्या कर सकते हैं? कुछ भी नहीं, दुर्भाग्य से, ब्लूटूथ को हर समय अक्षम रखने के अलावा। एक बार सक्रिय हो जाने पर, आप उस सारी जानकारी को अपने आस-पास के क्षेत्र में प्रसारित कर देंगे।
ब्लूटूथ भविष्य नहीं हो सकता
ब्लूटूथ के लिए एक सुरक्षित विकल्प वाई-फाई डायरेक्ट हो सकता है, वाई-फाई का उपयोग करने वाला एक अलग डिवाइस-टू-डिवाइस कनेक्शन। यह अभी तक ब्लूटूथ की तरह सर्वव्यापी नहीं है, लेकिन इसमें होने की क्षमता है। इसी तरह, वाई-फाई अवेयर भी आपके रडार पर होना चाहिए।
क्या आपने कभी ब्लूटूथ के कारण किसी समस्या का अनुभव किया है? क्या ये जोखिम आपको इसे फिर से उपयोग करने से रोकने के लिए पर्याप्त हैं? या आप इसे हमेशा की तरह इस्तेमाल करते रहेंगे? हमें टिप्पणियों में बताएं!