Bluejacking

Mechanismus útoku

Z technického hlediska využívá bluejacking standardní funkci protokolu Bluetooth pro přenos vizitek (vCards) mezi zařízeními. Původně byla tato funkcionalita určena pro legitimní sdílení kontaktních informací, ale útočníci (bluejackeři) objevili, že pole pro „jméno“ ve vizitce může být použito i k přenosu krátkých, nevyžádaných textových zpráv. Na rozdíl od jiných typů Bluetooth útoků, jako jsou bluesnarfing nebo bluebugging, nepředstavuje bluejacking přímé bezpečnostní riziko, protože neumožňuje získat přístup k datům nebo převzít kontrolu nad cílovým zařízením.

V počátcích se bluejacking stal populárním především mezi technicky zdatnými uživateli jako forma digitálního graffiti nebo způsob anonymní komunikace ve veřejných prostorech. Bluejacker typicky vysílal krátké, často humorné nebo provokativní zprávy na okolní zařízení. Zajímavostí je, že první zdokumentované případy bluejackingu se odehrály v nákupních centrech a na dalších veřejných místech s vysokou koncentrací lidí využívajících mobilní telefony. Dosah bluejackingu je limitován standardním dosahem technologie Bluetooth, který se pohybuje mezi 10 až 100 metry v závislosti na verzi Bluetooth a okolních podmínkách.

Bluejacking začíná vyhledáním dostupných Bluetooth zařízení v okolí. Útočník následně vytvoří kontakt (vizitku), která místo jména obsahuje text zprávy, a pokusí se ji odeslat na vybrané zařízení. Pokud je cílové zařízení nakonfigurováno tak, aby přijímalo přenosy přes Bluetooth, zobrazí se zpráva jako požadavek na přijetí vizitky. 

Lepší bezpečnostní mechanismy

Významným omezením možností bluejackingu bylo vydání specifikace Bluetooth ve verzi 2.1 v roce 2007. Ta přinesla vylepšené bezpečnostní mechanismy včetně lepší kontroly nad přijímáním žádostí o spojení. Tato aktualizace, spolu s rostoucím povědomím o bezpečnostních rizicích komunikace přes Bluetooth, vedla k postupnému poklesu popularity bluejackingu jako formy digitálního vandalismu.

V současné době se bluejacking považuje za relativně neškodnou, i když potenciálně obtěžující techniku. Moderní operační systémy a implementace Bluetooth poskytují uživatelům lepší kontrolu nad tím, jaká zařízení mohou navazovat spojení a zasílat data. Většina zařízení je standardně nastavena do „neviditelného“ režimu, což možnost bluejackingu značně ztěžuje.

Přestože bluejacking sám o sobě nepředstavuje závažné bezpečnostní riziko, přispěl k lepšímu pochopení potenciálních rizik spojených s bezdrátovou komunikací a vedl k implementaci vylepšených kontrolních mechanismů v následujících verzích specifikace Bluetooth.

Ochrana před bluejackingem je poměrně jednoduchá a zahrnuje několik základních opatření. Nejúčinnější je vypnutí rozhraní Bluetooth, když není aktivně využíváno, nebo nastavení zařízení do neviditelného režimu. Uživatelé by také měli být obezřetní při přijímání jakýchkoli neočekávaných přenosů přes Bluetooth, i když se jedná pouze o vizitky. Ve firemním prostředí je obecně vhodné implementovat politiky upravující používání Bluetooth technologie a školit zaměstnance o potenciálních rizicích.

Nové scénáře bluejackingu

S evolucí technologie Bluetooth a změnami ve způsobu komunikace se význam bluejackingu zásadně snížil. Moderní komunikační aplikace a sociální sítě poskytují mnohem efektivnější způsoby sdílení zpráv (i těch nevyžádaných) a navazování kontaktů. Přesto bluejacking občas nachází uplatnění v oblasti marketingu, kdy některé firmy experimentují s lokalizovaným zasíláním reklamních sdělení prostřednictvím Bluetooth, ovšem vždy s explicitním souhlasem uživatelů.

V kontextu internetu věcí (IoT) a rostoucího množství zařízení s Bluetooth se ale objevují nové scénáře potenciálního zneužití principů bluejackingu. Moderní varianty této techniky se mohou zaměřovat na zasílání nevyžádaných zpráv na chytré hodinky, různé fitness náramky i další nositelná zařízení. To vytváří nové výzvy pro vývojáře těchto zařízení z hlediska uživatelského komfortu a bezpečnosti.