导读 据报道,智能手机、笔记本电脑等物联网设备等蓝牙设备容易受到新的BIAS蓝牙攻击或蓝牙模拟攻击(BIAS)。根据研究人员的说法,新的BIAS攻击可
据报道,智能手机、笔记本电脑等物联网设备等蓝牙设备容易受到新的BIAS蓝牙攻击或蓝牙模拟攻击(BIAS)。根据研究人员的说法,新的BIAS攻击可以在任何支持蓝牙的设备上工作,并且可以攻击苹果、英特尔、三星、博通、赛普拉斯等原始设备制造商的设备和固件。
“我们使用实现来验证身份验证机制中的漏洞确实存在于真实设备中,而不仅仅是标准的怪癖。我们成功攻击了主要硬件和软件供应商的31个蓝牙设备(28个独特的蓝牙芯片),代表了所有主要的蓝牙版本,包括苹果、高通、英特尔、赛普拉斯、博通、三星和CSR,”研究人员在一份声明中说。
蓝牙技术用于数十亿台设备之间的无线通信,蓝牙标准包括“传统认证过程和安全认证过程,因此允许设备使用长期密钥进行相互认证”。BIAS错误利用了两个蓝牙设备第一次配对时处理链接密钥或长期密钥的方式。
“由于这次攻击基本上影响了所有讲蓝牙的设备,我们在2019年12月与负责蓝牙标准制定的标准组织蓝牙特别兴趣小组(Bluetooth SIG)进行了负责任的披露,以确保这个问题能够得到解决。就位。”研究人员指出。
Bluetooth SIG在新闻说明中提到,蓝牙的核心规范已经更新,“防止BIAS攻击者将经典蓝牙协议从安全认证方式降级为BIAS攻击成功的传统认证模式”。
"为了纠正这个漏洞,Bluetooth SIG正在更新Bluetooth Core规范,以明确何时允许角色切换。在旧版本认证中,需要相互认证,建议检查加密类型,避免降低与旧版本加密的安全连接。这些变化将被引入规范的未来修订中,”蓝牙技术联盟在一份声明中说。
标签: