Cyberthreat.id – Para peneliti di Center for IT-Security, Privacy, dan Accountability (CISPA) menemukan kelemahan keamanan (bug) terkait dengan enkripsi pada koneksi Bluetooth tradisional (BR/EDR), bukan Bluetooth Low Energy.

Menurut peneliti, perangkat peretas (hacker) bisa mengganggu prosedur yang digunakan untuk mengatur enkripsi pada koneksi Bluetooth antara dua perangkat sedemikian rupa sehingga mengurangi panjang kunci enkripsi yang digunakan.

Sederhananya, hacker melemahkan, bukan memecahkan, enkripsi perangkat Bluetooth, kemudian mengirimkan koneksi palsu untuk mengambil alih perangkat korban.

Namun,hacker masih harus menggunakan serangan brute-force terhadap salah satu perangkat untuk mengetahui kata sandi, “Tapi, serangan itu bisa terjadi dalam waktu yang cukup bisa dijangkau, karena ada bug itu,” tulis The Verge, yang diakses Minggu (18 Agustus 2019).

Teknik brute-force adalah metode untuk meretas password dengan cara mencoba semua kemungkinan kombinasi yang ada dalam wordlist. Biasanya hacker memiliki daftar wordlist untuk sandi. Hacker akan menggunakan algoritma yang menggabungkan huruf, angka dan simbol untuk menghasilkan password untuk serangan tersebut.

Menurut The Verge, pengguna Bluetooth tak perlu khawatir dengan ini karena hacker baru bisa menyerang jika perangkat terkoneksi Bluetooth. Peretas juga masih harus dalam jangkaun dan mengulangi serangan itu lagi setiap kali ingin masuk dalam koneksi tersebut. Itu artinya, hacker punya waktu yang sempit untuk melakukannya.

Seperti dikutip dari situs web Bluetooth.com, menurut peneliti, agar serangan berhasil, perangkat yang menyerang harus berada dalam jangkauan nirkabel dari dua perangkat Bluetooth yang rentan yang membuat koneksi BR/EDR.

“Jika salah satu perangkat tidak memiliki kerentanan, maka serangan itu tidak akan berhasil,” kata peneliti.

Namun, sejauh ini peneliti, “Belum menemukan bukti bahwa kerentanan telah dieksploitasi secara jahat,” tulis peneliti.

Dan, Bluetooth Special Interest Group (SIG)—organisasi standar yang mengawasi standar Bluetooth dari produsen—juga belum mengetahui adanya perangkat yang menerapkan serangan yang telah dikembangkan, termasuk oleh para peneliti yang mengidentifikasi kerentanan tersebut.

Untuk memperbaiki kerentanan, Bluetooth SIG telah memperbarui Spesifikasi Inti Bluetooth untuk merekomendasikan panjang kunci enkripsi minimum 7 oktet untuk koneksi BR / EDR.

Bluetooth SIG juga akan mencakup pengujian untuk rekomendasi baru ini dalam Program Kualifikasi Bluetooth kami.

“Bluetooth SIG sangat menyarankan agar pengembang produk memperbarui solusi yang ada untuk menegakkan panjang kunci enkripsi minimum 7 oktet untuk koneksi BR / EDR,” tulis Bluetooth.com.

Selain itu, pengguna Bluetooth harus memastikan bahwa mereka telah menginstal pembaruan yang disarankan terbaru dari produsen perangkat dan sistem operasi.