蓝牙现安全漏洞!苹果也栽跟头了

发表于:2020-5-21 09:20

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:太平洋电脑网

#
蓝牙
分享:
  近日获悉,一个名为BIAS的蓝牙攻击方式被曝光,暴露出博通、Cypress、苹果等企业的蓝牙设备和固件上存在严重隐患。
  不仅如此,作为蓝牙无线协议中的一个新漏洞,其被广泛应用于现代设备之间的互联,例如手机、平板、笔记本以及IOT设备。
  据了解,BIAS的全称为“蓝牙模仿攻击”,源于经典版的蓝牙协议,又称基础速率 / 增强数据速率(Bluetooth BR / EDR),而问题则出在了设备对密钥连接的处理上(又称长期密钥)。当两个蓝牙设备初次配对进行绑定时,其能够商定生成一个长期密钥,以避免后续每次都经历冗长的配对过程。
  然而,在绑定后的身份验证过程中,安全研究人员却发现了一个 bug 。BIAS允许攻击者对先前已配对 / 绑定的设备展开身份欺骗,而无需知晓两者此前商定的长期配对密钥。成功后,攻击者便能完全访问或控制另一端的经典版蓝牙设备。
  经实测发现,各大厂商的智能手机、平板、笔记本电脑、耳机以及树莓派等芯片上的系统,竟然无一幸免。由于BIAS攻击形式基本上波及到了所有蓝牙设备,因此研究人员早在2019年12月便向制定标准的蓝牙联盟进行了披露,希望其能够及时地修复该漏洞。
  对此,Bluetooth SIG在今日表示,他们已更新了蓝牙的核心规范,从而防止强制降级至经典版蓝牙协议的BIAS身份欺骗攻击,预计蓝牙设备制造商也会在未来几个月内推出相关固件更新。

      本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号