Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Bluejacking - exploitation vulnérabilités du Bluetooth

21.08.2020 - Bluejacking est l'envoi de messages non sollicités via Bluetooth aux appareils compatibles Bluetooth (téléphones mobiles, PDA, les ordinateurs portables) ou l'envoi de vCard contenant un message ou l'envoi d'images ou sons (avec les risques attenants).

Bluejacking est l'envoi de messages non sollicités via Bluetooth aux appareils compatibles Bluetooth tels que les téléphones mobiles, les PDA ou les ordinateurs portables, l'envoi d'une vCard qui contient généralement un message dans le champ de nom (par exemple, pour bluedating ou BlueChat) à un autre appareil compatible Bluetooth via le protocole OBEX.

Bluetooth a une portée très limitée, généralement autour de 10 mètres (32,8 pieds) sur les téléphones portables, mais les ordinateurs portables peuvent atteindre jusqu'à 100 mètres (328 pieds) avec de puissants émetteurs (Bluetooth classe 1).

Bluejacking - Origine du Bluejacking

Un bluejacking aurait été effectué pour la première fois entre 2001 et 2003 par [1] un consultant informatique malais qui a utilisé son téléphone pour envoyer une publicité Ericsson à un unique propriétaire d'un téléphone Nokia 7650 dans une banque malaisienne. Il a également [2] inventé le nom, qui, selon lui, est un amalgame entre Bluetooth et d'Ajack, son pseudo d'utilisateur sur esato.com, un forum de discussion en ligne de fans des téléphones Sony Ericsson. Jacking est, cependant, un raccourci extrêmement commun de « Hijack », l'acte de prendre le contrôle de quelque chose. [3] Les messages originaux d'Ajack sont difficiles à trouver, mais les références à cet exploit sont courantes dans des messages de 2003.

Un autre utilisateur du même forum revendique une découverte antérieure, [4] rapportant une histoire presque identique à celle attribuée à Ajack, sauf qu'il décrit le bluejacking de 44 téléphones Nokia 7650 au lieu d'un, et l'emplacement est un garage, apparemment au Danemark, plutôt qu'une banque malaisienne. En outre, le message était une insulte aux propriétaires des Nokia 7650 plutôt qu'une publicité Sony Ericsson.

Bluejacking - Origine du Bluejacking

Le bluejacking est généralement inoffensif, mais comme les personnes bluejackées ne savent généralement pas ce qui s'est passé, elles peuvent penser que leur téléphone fonctionne mal ou est contaminé.

Habituellement, un bluejacker n'enverra qu'un message texte, mais avec les téléphones modernes, il est également possible d'envoyer des images ou des sons. Le bluejacking a été utilisé dans des guerres de campagnes publicitaires pour promouvoir des advergames (des jeux vidéo publicitaires).

Bluejacking est parfois confondu avec Bluesnarfing, qui est la façon dont les téléphones mobiles sont piratés illégalement via Bluetooth.

Bluejacking - Utilisation du bluejacking

Certains formats d'images ([5] .png) peuvent embarquer une attaque qui, lorsque l'utilisateur l'ouvre, contamine l'appareil.

[6] Des chercheurs chinois ont découvert des vulnérabilités dans le fonctionnement du Bluetooth sur les téléphones équipés d’Android, et qui permettent de voler des informations confidentielles, dont des SMS et contacts du téléphone. Les chercheurs de l’entreprise DBAPPSecurity ont présenté leur découverte mercredi 5 août 2020 à la BlackHat.

Le Bluetooth doit toujours être désactivé. Si besoin, l'activer momentanément et le désactiver aussitôt.

Bluejacking - Contamination par bluejacking
  1.  Bluejacking 'une farce inoffensive' 37950 (Archive)
  2.  World Wide Web of Words Histoire de l'invention du terme Bluejacking (Archive)
  3.  Bluejacking 'une farce inoffensive' 37950 (Archive)
  4.  I did somthing that can be conciderd as a bluetooth rampage! 37456 (Archive)
  5.  Une faille sur les téléphones Android exploite les fichiers images .PNG 43500 (Archive)
  6.  06 août 2020 - Découverte d’une faille Bluetooth sur Android, qui permet de voler discrètement des données Des chercheurs ont dévoilé une faille jusqu’ici inconnue, qui permet de connecter un appareil Bluetooth à un téléphone sans avoir besoin du consentement de l’utilisateur. (Archive)
Bluejacking - Références

Outils d'investigations pour chercheurs