BIAS藍牙攻擊殃及大量設備 苹果等廠商難幸免

掃碼閱讀手機版

來源: 太平洋電腦網 作者: 編輯:張思政 2020-05-21 10:57:03

內容提要:近日獲悉,一個名為BIAS的藍牙攻擊方式被曝光,暴露出博通、Cypress、苹果等企業的藍牙設備和固件上存在嚴重隱患

近日獲悉,一個名為BIAS的藍牙攻擊方式被曝光,暴露出博通、Cypress、苹果等企業的藍牙設備和固件上存在嚴重隱患。

不僅如此,作為藍牙無線協議中的一個新漏洞,其被廣泛應用於現代設備之間的互聯,例如手機、平板、筆記本以及IOT設備。

據了解,BIAS的全稱為“藍牙模仿攻擊”,源於經典版的藍牙協議,又稱基礎速率/增強數據速率(Bluetooth BR / EDR)。

而問題則出在了設備對密鑰連接的處理上(又稱長期密鑰)。當兩個藍牙設備初次配對進行綁定時,其能夠商定生成一個長期密鑰,以避免後續每次都經歷冗長的配對過程。

然而,在綁定後的身份驗證過程中,安全研究人員卻發現了一個bug。

BIAS允許攻擊者對先前已配對/綁定的設備展開身份欺騙,而無需知曉兩者此前商定的長期配對密鑰。

成功後,攻擊者便能完全訪問或控制另一端的經典版藍牙設備。

經實測發現,各大廠商的智能手機、平板、筆記本電腦、耳機以及樹莓派等芯片上的系統,竟然無一幸免。

由於BIAS攻擊形式基本上波及到了所有藍牙設備,因此研究人員早在2019年12月便向制定標准的藍牙聯盟進行了披露,希望其能夠及時地修復該漏洞。

對此,Bluetooth SIG在今日表示,他們已更新了藍牙的核心規范,從而防止強制降級至經典版藍牙協議的BIAS身份欺騙攻擊,預計藍牙設備制造商也會在未來幾個月內推出相關固件更新。

下載津雲客戶端關注更多精彩

推薦新聞

我來說兩句

關於北方網 | 廣告服務 | 誠聘英纔 | 聯系我們 | 網站律師 | 設為首頁 | 關於小狼 | 違法和不良信息舉報電話:022-23602087 | 舉報郵箱:jubao@staff.enorth.cn | 舉報平臺

Copyright (C) 2000-2024 Enorth.com.cn, Tianjin ENORTH NETNEWS Co.,LTD.All rights reserved
本網站由天津北方網版權所有
增值電信業務經營許可證編號:津B2-20000001  信息網絡傳播視聽節目許可證號:0205099  互聯網新聞信息服務許可證編號:12120170001津公網安備 12010002000001號