您的位置:首页 >  资讯 > 新闻资讯 > 数码,通信,互联网,手机,业界,科技,媒体,资讯,IT新闻,言论平台,CB,cnBeta

新的安全漏洞让攻击者伪造出可信的蓝牙外设!

作者:佚名时间:2020-05-21

  据外媒报道,一个研究团队表露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。

  从本质上说,BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后,它们在一个“链接密钥”上达成一致,这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究职员发现,他们能够在不知道这个链接密钥的情况下,欺骗之前配对过的设备的蓝牙地址来完成认证过程。

  更具体地说,当攻击设备假装是一个只支持单边认证的先前受信任的设备时,该漏洞就会启动--这是蓝牙中最低的安全设置。通常情况下,用户的设备将是验证该连接是否有效的设备。然而,通过使用一种被称为“角色切换”的策略,攻击者可以欺骗认证,并与用户设备建立安全连接。

  结合其他蓝牙漏洞,如蓝牙密钥协商(KNOB),攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功,被攻击的设备就可以被用来进行其他的利用,包括访问通过蓝牙发送的数据,甚至控制之前配对的设备所拥有的功能。

  由于蓝牙连接通常不需要用户进行明确的交互,因此BIAS和KNOB攻击也是隐蔽的,可以在用户不知情的情况下进行。

  谁会受到BIAS攻击的威胁?

  这个缺陷只影响到蓝牙基本速率/增强数据速率,也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击,包括iPhone8及以上版本、2017年版MacBook设备及以上版本、2018年的iPad机型及以上版本。

  为了实施攻击,不良行为者需要在易受攻击设备的蓝牙范围内,并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说,找到这些蓝牙地址相对来说是件小事,即使是随机的。

  研究职员已经通知了蓝牙特别爱好小组(SIG),该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁,配合修复措施。

相关资讯

最新游戏

阴阳师学院 V1.0 安卓

阴阳师学院 V1.0 安卓8.0分

V1.0 安卓

2024-05-23  棋牌卡牌

决胜巅峰国际服 V21.8.79.9552 安卓

决胜巅峰国际服 V21.8.79.9552 安卓8.0分

V21.8.79.9552 安卓

2024-05-23  策略塔防

奥特曼格斗之热血英雄最新版 V3.2.0 安卓

奥特曼格斗之热血英雄最新版 V3.2.0 安卓8.0分

V3.2.0 安卓

2024-05-23  动作格斗

疯狂出租车2 V1.0.7 安卓

疯狂出租车2 V1.0.7 安卓8.0分

V1.0.7 安卓

2024-05-23  赛车竞速

躲猫猫大乱斗 V3.5 安卓

躲猫猫大乱斗 V3.5 安卓8.0分

V3.5 安卓

2024-05-23  休闲益智

保护生存之地 V1.9.1 安卓

保护生存之地 V1.9.1 安卓8.0分

V1.9.1 安卓

2024-05-23  冒险解谜

最新资讯