Bluetooth: un chivato en tu bolsillo
Enviado por admin el 7. Mayo 2008 - 17:31.
Vassilis Kostakos, de la universidad británica de Bath, lleva algún tiempo ideando e implementando mejores algoritmos para escanear dispositivos Bluetooth de la forma más eficiente posible.
El destino de todas estas mejoras es la red de receptores de Bluetooth que Kostakos ha instalado en el centro de su ciudad. En los últimos cuatro meses, Kostakos y su equipo han rastreado el paso por el centro de Bath de 10.000 teléfonos portátiles equipados con Bluetooth. Y lo que es peor: a partir de los datos recogidos, afirman haber podido analizar los encuentros de los ciudadanos en calles, bares y tiendas.
Para Kostakos, Bluetooth supone ahora mismo un riesgo para la privacidad mayor que los chips RFID. "Si a la gente le preocupa, debería desactivar la función Bluetooth de sus teléfonos móviles", afirma...
Referencias:
- Vassilis Kostakos Research.
- Bluetooth gives spies a window into your life [New Scientist].
Siempre lo llevo apagado,
Siempre lo llevo apagado, siempre es más sensato tanto para la seguridad del teléfono como para la duración de la batería. Parece que el Bluetooth consume bastante...
No es cierto
He hecho pruebas concretas con bluetooth activado y desactivado y no hay diferencia en el consumo de la batería... a no ser, claro, que se lo esté usando. Cuando está en uso sobre todo en algunos teléfonos, el consumo es monstruoso.
alguna manera de tenerlo funcionando de forma segura?
yo, la verdad, es que siempre lo llevo conectado. Pero cuando alguien trata de conectarse me pide la contraseña. Es suficiente seguridad o hay alguna opción con la que este más tranquilo?
Seguramente sí
Antiguamente hubo muchas fallas de seguridad en lo referido al bluetooth. Como por ejemplo teléfonos que pedían clave para transferir archivos pero no la pedían para obtener un listado de la agenda. Y para colmo, algunos una vez se les había solicitado el listado incluían en la lista de equipos apareados al que se conectó, permitiendo después por ejemplo, realizar conexiones de datos via GPRS sin autenticar.
Pero eso ocurrió en los primeros tiempos y por lo que se, actualmente todos los teléfonos piden un pin al usuario antes de continuar con la conexión.
Mejor apagalo
Pues mejor apagalo porque vamos yo no estoy al día pero por lo que tengo entendido había ataques de Mac Spoofing por lo que podían emparejarse a tu dispositivo sin requerir contraseña.
Lo veo dificil
El bluetooth funciona así:
Ambos equipos eligen claves bastante grandes al azar. Depués le preguntan al usuario un pin y lo usan para cifrar esa clave. Las claves se intercambian y quedan almacenadas en ambos equipos para las comunicaciones futuras, así que el pin ya no vuelve a usarse.
Por lo tanto, ni siquiera elegir un pin fácil (como por ejemplo 1234) es inseguro a no ser que justo haya alguien monitoreando el tráfico en el momento de la primera comunicación. De ahí en adelante el pin se descarta y ya no se vuelve a usar.
Si alguien suplanta la MAC del otro equipo, al no tener almacenada la clave que se intercambió originalmente, no debería poder establecer la comunicación.
Se me ocurre que algunos dispositivos bien podrían tener esa clave fija o tener bugs en su firmware que los hacen elegir claves fácilmente predecibles, pero eso dependerá de la implementación del protocolo que ha hecho cada empresa. Pero Para que fuere posible el spoofing probablemente haría falta que ambos dispositivos emparejados generaran claves predecibles.
mejor apagado
y ahorras además batería
para Windows Mobile
conocen alguna aplicación para escanear bluetooth desde una agenda con Widows Mobile?. He visto algunos programas pero son para telefonos. Si estuvieran hecho en java podría cargarlos, pero no he encontrado nada.
saludos y gracias
Jorge Escudero
Pagina Sobre Seguridad Bluetooth
Esta pagina es bastante recomendable para quienes quieran, profundizar mas en el tema, tambien hay utilidades interesantes para hacer bluehack, desde dispositivos mobile, linux y windows.
http://gospel.endorasoft.es/bluetooth/seguridad-bluetooth/in...
un saludo
"Cuidado Ahi Fuera"
Pués mi móvil no tiene.
Pués mi móvil no tiene. Si, ya sé, ya sé... soy un "carca" pero solo utilizo el móvil para hablar por telefóno. Raro ¿no?.
experiencias personales.
totalmente de acuerdo... BT es un chivato, pero no mas que por la insensatez propia del propietario del movil.
Yo programo j2me y hace poco terminé una app para scaneo y envio de información a traves de bt (no requiere grandes habilidades) y recuerdo en madrid, en un escaneo, una chica que tenia su nombre+numero como nombre de dispositivo...
fascinante.
es habitual
Pues dado que no lo sabes es una practica habitual en los locales de ocio, usar el movil como forma de 1er contacto o medio para conocer gente.
Al colocar su nombre y su num te facilita a ti para que la llames y hables con ella, (vamos un metodo nuevo para ligar), sin el miedo al primer paso cara a cara.
saludos aie1981
(PD: es curioso que dicho metodo me lo comento un conocido que "entiende")
venga ... va...
solo intentaba poner de manifiesto la poca cabeza, no el uso social...
entiende que el escaneo al que me referia era a las 14:30 en un bar de comidas en el ifema, sitio poco sensual cuando menos... aunque no te digo yo que la chica no buscara guerra.. no se.. no es mesa para discutir estos menesteres.
Y si esta encendido pero oculto
Y si esta encendido pero oculto también te rastrean?? Supongo que sera posible.
Lo de apagar esta muy bien, pero si me tengo que acordar cada vez que monto en coche de encender el Bluetooth, no veas tu el coñazo.
Una vez tienes emparejados los dispositivos que usas habitualmente, puedes ponerte en oculto, que sigue funcionando la vinculación, pero evitas que "otros" te vean simplemente barriendo la zona buscando dispositivos.
Otra cosa sera si usan herramientas especiales que se puedan saltar la ocultación.....
No pero sí
No es posible ver un teléfono oculto con una simple consulta, pero sí es posible localizarlo mediante pruebas. Se mandan conexiones al azar probando direcciones. Para reducir la cantidad de pruebas se dejan fijos los prefijos correspondientes a las distintas marcas.
Cabe aclarar que si bien es posible rastrear los teléfonos, estén o no visibles, no se pueden asociar lso dispositivos bluetooth con el numero de teléfono ni con cualquier otro dato identificativo de la persona.
Si se quiere seguir personas es más fácil seguir las matrículas de los automóviles, que sí son identificativas y asociables a personas con nombre y apellido, extremadamente fáciles de leer con un OCR y estan OBLIGATORIAMENTE a la vista de todo el mundo.
Me parece ridículo quejarse de las etiquetas RFID o de los teléfonos con bluetooth y no quejarse de las matrículas de los coches.
BT
Hola,
Supongo que cada tecnología al comienzo habrá fallos de seguridad, si que es verdad todo lo que decís, de que hubo fallas de seguridad concretamente las versiones de BlueT 1.0 creo recordad que no te pedía contraseña, pero a partir de la versión 2.0 se solvento ese error, de hecho os dijo un programa para el móvil creado por Mark Sedivý para hack móviles a través del Blue.
El programa se llama BT INFO y en móviles de siemens algunos no te piden autentificación claramente cuyo móviles tenga versiones de blueT inferiores al 2.0. La pagina de este software es: http://k508i.wz.cz/
Opinar