導讀:11 月 30 日,網絡安全專家近日報告,發現藍牙連接協議中存在 2 個全新的安全漏洞,使用藍牙 4.2 至 5.4 版本的所有設備均存在被攻擊者劫持的風險,影響自 2014 年年底至今的所有藍牙設備。
11 月 30 日,網絡安全專家近日報告,發現藍牙連接協議中存在 2 個全新的安全漏洞,使用藍牙 4.2 至 5.4 版本的所有設備均存在被攻擊者劫持的風險,影響自 2014 年年底至今的所有藍牙設備。
Eurecom 安全專家丹尼爾?安東尼奧利(Daniele Antonioli)解釋稱,利用這 2 個藍牙標準中的漏洞,目前已開發了 6 種類型的全新攻擊方式,統稱為“BLUFFS”,可以破壞藍牙會話的保密性,可以冒充設備或者執行中間人(MitM)攻擊。
本次曝光的兩個漏洞,主要和藍牙協議中會話密鑰的派生方式有關,而這些密鑰負責解密交換中的數據。
目前這兩個漏洞的安全追蹤編號為 CVE-2023-24023,影響采用 4.2 至 5.4 版本的藍牙設備。
目前藍牙成為很多設備的標準配置,預估全球范圍內,包括筆記本電腦、智能手機和其他移動設備在內,會有數十億臺設備受到影響。
注:BLUFFS 影響 2014 年 12 月發布的藍牙 4.2 以及 2023 年 2 月發布的最新版本藍牙 5.4 之間的所有版本。
Bluetooth SIG(Special Interest Group)是負責監督藍牙標準開發并負責該技術許可的非營利組織,已收到 Eurecom 的報告,并在其網站上發表了一份聲明。
該組織建議,拒絕使用低于七個 octets 的低密鑰強度連接,使用“Security Mode 4 Level 4”,以確保更高的加密強度級別,并在配對時以“僅安全連接”模式運行。
