11 月 30 日���,網(wǎng)絡(luò)安全專家近日報告����,發(fā)現(xiàn)藍(lán)牙連接協(xié)議中存在 2 個全新的安全漏洞,使用藍(lán)牙 4.2 至 5.4 版本的所有設(shè)備均存在被攻擊者劫持的風(fēng)險���,影響自 2014 年年底至今的所有藍(lán)牙設(shè)備��。
Eurecom 安全專家丹尼爾?安東尼奧利(Daniele Antonioli)解釋稱���,利用這 2 個藍(lán)牙標(biāo)準(zhǔn)中的漏洞����,目前已開發(fā)了 6 種類型的全新攻擊方式�����,統(tǒng)稱為“BLUFFS”��,可以破壞藍(lán)牙會話的保密性�,可以冒充設(shè)備或者執(zhí)行中間人(MitM)攻擊。
本次曝光的兩個漏洞���,主要和藍(lán)牙協(xié)議中會話密鑰的派生方式有關(guān)�����,而這些密鑰負(fù)責(zé)解密交換中的數(shù)據(jù)�。
![]()
目前這兩個漏洞的安全追蹤編號為 CVE-2023-24023�,影響采用 4.2 至 5.4 版本的藍(lán)牙設(shè)備。
目前藍(lán)牙成為很多設(shè)備的標(biāo)準(zhǔn)配置,預(yù)估全球范圍內(nèi)�����,包括筆記本電腦���、智能手機(jī)和其他移動設(shè)備在內(nèi)�����,會有數(shù)十億臺設(shè)備受到影響����。
注:BLUFFS 影響 2014 年 12 月發(fā)布的藍(lán)牙 4.2 以及 2023 年 2 月發(fā)布的最新版本藍(lán)牙 5.4 之間的所有版本��。
Bluetooth SIG(Special Interest Group)是負(fù)責(zé)監(jiān)督藍(lán)牙標(biāo)準(zhǔn)開發(fā)并負(fù)責(zé)該技術(shù)許可的非營利組織�����,已收到 Eurecom 的報告�,并在其網(wǎng)站上發(fā)表了一份聲明。
該組織建議�,拒絕使用低于七個 octets 的低密鑰強(qiáng)度連接����,使用“Security Mode 4 Level 4”�����,以確保更高的加密強(qiáng)度級別��,并在配對時以“僅安全連接”模式運(yùn)行��。
