Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 14/11/2003
Sikkerhedsforskere har opdaget, at flere leverandørers Bluetooth-implementeringer giver angribere mulighed for at få adgang til adressekartoteket og andre private informationer.Den trådløse Bluetooth-teknologi, der er indbygget i mange mobiltelefoner og andet bærbart udstyr, har indbygget sikkerhed i sine specifikationer. Men flere leverandører har implementeret specifikationerne på en måde, der er usikker, skriver Mark Rowe og Tim Hurman fra sikkerhedsfirmaet Pentest Limited i et indlæg på diskussionslisten Bugtraq.
Ifølge de to sikkerhedsforskere ligger sårbarheden i nogle af de såkaldte OBEX-profiler, der styrer udveksling af information mellem Bluetooth-enheder. En profil ved navn OBEX Get bruges til at hente data med. Normalt bør den være begrænset, så kun enheder, som ejeren af Bluetooth-enheden har godkendt, kan få lov til at hente information. Men i flere implementeringer er information også tilgængelig for ikke-godkendte enheder.
Forskerne nævner ikke, hvilke Bluetooth-mobiltelefoner der er sårbare. Deres indlæg er svar på et indlæg fra sikkerhedsforskeren Adam Laurie, der angiver, at flere modeller fra Ericsson og Nokia er sårbare.
Forskerne anbefaler, at man kun slår Bluetooth til, når det er absolut nødvendigt. Endvidere anbefaler de, at man slår funktionen "non-discoverable" til, så telefonen kun kan tale med enheder, der kender den. Det vil ikke forhindre angreb, men gøre dem sværere at udføre, fordi angriberen har sværere ved at finde sit offer.