Duńskie służby mówią jasno. Oni mogą być na podsłuchu

Duńska agencja wywiadu wojskowego przestrzegła resorty, urzędy i policję przed używaniem słuchawek Bluetooth podczas pracy. Ostrzeżenie pada w napiętym kontekście politycznym i dotyczy ryzyka nieautoryzowanego parowania oraz przejęcia dźwięku.

Eksperci wskazują na luki umożliwiające sparowanie urządzenia bez zgody użytkownika. To może zamienić zestaw w narzędzie podsłuchowe. Samo wyłączenie Bluetooth w telefonie nie wystarczy – ryzyko pozostaje po stronie akcesorium.

W dyskusji technicznej podkreślono, że część problemów wynika z rozwiązań wykraczających poza standard Bluetooth, jak system szybkiego parowania. Krytycy akcentują, że implementacje niestandardowe zwiększają powierzchnię ataku.

Wskazano na podatności w oprogramowaniu dla układów audio (m.in. Airoha SDK) oraz zapisy CVE, które opisują parowanie bez zgody. Urządzenia bez aktualizacji firmware są szczególnie narażone. Nie wszystkie marki regularnie dostarczają poprawki.

Część komentujących zauważa, że jakość dźwięku w trybie dwukierunkowym bywa niższa, co skłania do używania mikrofonu przewodowego. W realiach służbowych może to ograniczyć potrzebę parowania zestawów i zmniejszyć ryzyko przechwycenia.

Bluetooth ma ograniczony zasięg, ale napastnik może użyć silniejszej anteny. To zwiększa pole działania w pobliżu budynków urzędowych. Zagrożenie dotyczy bliskości fizycznej, co wymaga rygoru w strefach wrażliwych.

Rekomendacje sprowadzają się do: unikania słuchawek bezprzewodowych w pracy, wyłączania akcesoriów poza użyciem i pilnowania aktualizacji. W tle pojawia się spór, czy problem dotyczy całego standardu, czy konkretnych implementacji szybkiego parowania.

Chociaż duńskie media kwestionują bezpieczeństwo słuchawek Bluetooth w kontekście używania ich przez państwowych urzędników, policję oraz służby, nie oznacza to, że obywatele nie są całkowicie bezpieczni. Cyberprzestępcy mogą wykorzystać tę samą technologię, żeby podsłuchiwać każdą osobę korzystającą z tego akcesorium.

"Rekomendacja duńskich służb, dot. wyłączenia Bluetooth na urządzeniach m.in. pracowników policji ma na celu natychmiastowe zmniejszenie ryzyka związanego z tą technologią. Ataki wykorzystujące Bluetooth można przeprowadzić bez udziału użytkownika, bez uwierzytelniania, a w niektórych przypadkach nawet bez parowania urządzeń – wystarczy, że Bluetooth jest włączony" - mówi Kamil Sadkowski z ESET.

Sadkowski zaznacza, że właśnie z tego powodu technologia Bluetooth powinna być traktowana przez państwowe organy "jak niekontrolowany kanał radiowy" i używana "tylko wtedy, gdy jest to naprawdę konieczne".

"Warto też pamiętać, że niektóre państwa wymagają od pracowników jednostek rządowych usunięcia niektórych komunikatorów czy aplikacji na rzecz rozwiązań dających większą kontrolę nad bezpieczeństwem. Przy ocenie takich aplikacji bierze się pod uwagę możliwość przeprowadzania audytów, lokalizację serwerów, obowiązujące przepisy prawne oraz sposób aktualizacji" - dodaje Sadkowski.