應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個(gè)人注冊登錄

重磅級藍(lán)牙漏洞 BLUFFS:2014 年以來數(shù)十億臺設(shè)備均受影響

2023-11-30 10:19 IT之家
關(guān)鍵詞:藍(lán)牙漏洞

導(dǎo)讀:11 月 30 日,網(wǎng)絡(luò)安全專家近日報(bào)告,發(fā)現(xiàn)藍(lán)牙連接協(xié)議中存在 2 個(gè)全新的安全漏洞,使用藍(lán)牙 4.2 至 5.4 版本的所有設(shè)備均存在被攻擊者劫持的風(fēng)險(xiǎn),影響自 2014 年年底至今的所有藍(lán)牙設(shè)備。

11 月 30 日,網(wǎng)絡(luò)安全專家近日報(bào)告,發(fā)現(xiàn)藍(lán)牙連接協(xié)議中存在 2 個(gè)全新的安全漏洞,使用藍(lán)牙 4.2 至 5.4 版本的所有設(shè)備均存在被攻擊者劫持的風(fēng)險(xiǎn),影響自 2014 年年底至今的所有藍(lán)牙設(shè)備。

Eurecom 安全專家丹尼爾?安東尼奧利(Daniele Antonioli)解釋稱,利用這 2 個(gè)藍(lán)牙標(biāo)準(zhǔn)中的漏洞,目前已開發(fā)了 6 種類型的全新攻擊方式,統(tǒng)稱為“BLUFFS”,可以破壞藍(lán)牙會話的保密性,可以冒充設(shè)備或者執(zhí)行中間人(MitM)攻擊。

本次曝光的兩個(gè)漏洞,主要和藍(lán)牙協(xié)議中會話密鑰的派生方式有關(guān),而這些密鑰負(fù)責(zé)解密交換中的數(shù)據(jù)。

image.png

目前這兩個(gè)漏洞的安全追蹤編號為 CVE-2023-24023,影響采用 4.2 至 5.4 版本的藍(lán)牙設(shè)備。

image.png

目前藍(lán)牙成為很多設(shè)備的標(biāo)準(zhǔn)配置,預(yù)估全球范圍內(nèi),包括筆記本電腦、智能手機(jī)和其他移動設(shè)備在內(nèi),會有數(shù)十億臺設(shè)備受到影響。

注:BLUFFS 影響 2014 年 12 月發(fā)布的藍(lán)牙 4.2 以及 2023 年 2 月發(fā)布的最新版本藍(lán)牙 5.4 之間的所有版本。

image.png

Bluetooth SIG(Special Interest Group)是負(fù)責(zé)監(jiān)督藍(lán)牙標(biāo)準(zhǔn)開發(fā)并負(fù)責(zé)該技術(shù)許可的非營利組織,已收到 Eurecom 的報(bào)告,并在其網(wǎng)站上發(fā)表了一份聲明。

該組織建議,拒絕使用低于七個(gè) octets 的低密鑰強(qiáng)度連接,使用“Security Mode 4 Level 4”,以確保更高的加密強(qiáng)度級別,并在配對時(shí)以“僅安全連接”模式運(yùn)行。