凡亿专栏 | 爆有安全漏洞,2014至今蓝牙设备均受影响
爆有安全漏洞,2014至今蓝牙设备均受影响

随着无线通信时代高速发展,蓝牙技术已经步入到千家万户中被应用,如:蓝牙耳机、蓝牙音箱等,但这些蓝牙技术最近却被爆出有底层BUG?!

近日,来自Eurecom的安全人员分享了六种新型攻击方式,统称为“BLUFFS”,据相关人员表示,BLUFFS利用了蓝牙标准中两个以前未知的安全漏洞。

该漏洞被标识为CVE-2023-24023,并非针对特定的硬件或软件配置,而是影响自2014年底至今的所有蓝牙设备,蓝牙4.2至5.4版本的所有设备均存在被劫持的风险。

1.png

而且Eurecom针对不同设备展示了BLUFFS攻击结果,结果显示,包括iPhone 7/12/13、Pixel 2/6、小米10T及AirPods Pro在内的设备,六种攻击方式起码有三种是有效果的。

因此,蓝牙作为一种成熟的无线通信标准,起码有数十亿电子设备在应用蓝牙,也就是很容易受到BLUFFS的安全威胁,其中包括笔记本电脑、智能手机和其他移动设备。

根据BLUFFS的攻击原理,它旨在破坏蓝牙会话的过去和未来保密性,对设备之间的通信造成威胁,其通过利用四个会话秘钥生成过程中的漏洞(其中两个是新的)来实现。迫使派生出一个短且容易预测的会话密钥(SKC),攻击者通过暴力破解密钥,能够解密过去的通信内容,并解密或操控将来的通信。

而且,无论受害者是否支持安全连接(Secure Connections, SC)或传统安全连接(Legacy Secure Connections, LSC),这些攻击方式都能够实施。

因此在该报告的发布之后,蓝牙SIQ发表声明表示将进口修复该BUG。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表凡亿课堂立场。文章及其配图仅供工程师学习之用,如有内容图片侵权或者其他问题,请联系本站作侵删。
相关阅读
进入分区查看更多精彩内容>
精彩评论

暂无评论