安基網 首頁 資訊 安全報 查看內容

BIAS藍牙身份欺騙攻擊波及大量設備

2020-5-20 12:46| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近日曝光的 BIAS 藍牙攻擊,揭示了蘋果、博通、Cypress、英特爾、三星等企業的藍牙設備和固件上存在的嚴重隱患。研究人員指出,作為藍牙無線協議中的一個新漏洞,其被廣泛應用于現代設備的互聯,比如智能手機、平板、筆記本電腦、以及物聯網設備。BIAS 的全稱為“藍牙模仿攻擊”,該漏洞源于經典版的藍 ...

近日曝光的 BIAS 藍牙攻擊,揭示了蘋果、博通、Cypress、英特爾、三星等企業的藍牙設備和固件上存在的嚴重隱患。研究人員指出,作為藍牙無線協議中的一個新漏洞,其被廣泛應用于現代設備的互聯,比如智能手機、平板、筆記本電腦、以及物聯網設備。BIAS 的全稱為“藍牙模仿攻擊”,該漏洞源于經典版的藍牙協議,又稱基礎速率 / 增強數據速率(Bluetooth BR / EDR)。

視頻截圖(來自:FrancoZappa|PDF)

據悉,問題出在設備對密鑰連接的處理上(又稱長期密鑰)。當兩個藍牙設備初次配對(綁定)時,其能夠商定生成一個長期密鑰,以避免后續每次都經歷冗長的配對過程。

遺憾的是,在綁定后的身份驗證過程中,研究人員卻發現了一個 bug 。該漏洞使得攻擊者能夠對先前已配對 / 綁定的設備展開身份欺騙,而無需知曉兩者此前商定的長期配對密鑰。

一旦得逞,攻擊者便可完全訪問或控制另一端的經典版藍牙設備。實測發現,各大廠商的智能手機、平板、筆記本電腦、耳機、以及樹莓派等片上系統,竟然無一幸免。

BIAS - Bluetooth Impersonation AttackS(via)

鑒于這種攻擊形式基本上影響到了所有藍牙設備,因此研究人員早在 2019 年 12 月便向制定標準的藍牙聯盟進行了披露,以期能夠及時地修復該漏洞。

Bluetooth SIG 在今日的新聞稿中稱,他們已經更新了藍牙的核心規范,以防止強制降級至經典版藍牙協議的 BIAS 身份欺騙攻擊,預計藍牙設備制造商也會在未來幾個月內推出相關固件更新。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6828742055016006157/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 湖北十一造五开奖走势图 广东11选五那个玩法比较好 云南快乐10分开奖查询 上证指数实时动态走势 福彩3d和值和尾走势图带连线 实用性泳坛夺金投注方案 股票网上开户哪个好 香港最怏开奖现场直播+结果 11选五北京开奖号码 上海11选5任三遗漏一定牛