安基网 首页 资讯 安全报 查看内容

BIAS蓝牙身份欺骗攻击波及大量设备

2020-5-20 12:46| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日曝光的 BIAS 蓝牙攻击,揭示了苹果、博通、Cypress、英特尔、三星等企业的蓝牙设备和固件上存在的严重隐患。研究人员指出,作为蓝牙无线协议中的一个新漏洞,其被广泛应用于现代设备的互联,比如智能手机、平板、笔记本电脑、以及物联网设备。BIAS 的全称为“蓝牙模仿攻击”,该漏洞源于经典版的蓝 ...

近日曝光的 BIAS 蓝牙攻击,揭示了苹果、博通、Cypress、英特尔、三星等企业的蓝牙设备和固件上存在的严重隐患。研究人员指出,作为蓝牙无线协议中的一个新漏洞,其被广泛应用于现代设备的互联,比如智能手机、平板、笔记本电脑、以及物联网设备。BIAS 的全称为“蓝牙模仿攻击”,该漏洞源于经典版的蓝牙协议,又称基础速率 / 增强数据速率(Bluetooth BR / EDR)。

视频截图(来自:FrancoZappa|PDF)

据悉,问题出在设备对密钥连接的处理上(又称长期密钥)。当两个蓝牙设备初次配对(绑定)时,其能够商定生成一个长期密钥,以避免后续每次都经历冗长的配对过程。

遗憾的是,在绑定后的身份验证过程中,研究人员却发现了一个 bug 。该漏洞使得攻击者能够对先前已配对 / 绑定的设备展开身份欺骗,而无需知晓两者此前商定的长期配对密钥。

一旦得逞,攻击者便可完全访问或控制另一端的经典版蓝牙设备。实测发现,各大厂商的智能手机、平板、笔记本电脑、耳机、以及树莓派等片上系统,竟然无一幸免。

BIAS - Bluetooth Impersonation AttackS(via)

鉴于这种攻击形式基本上影响到了所有蓝牙设备,因此研究人员早在 2019 年 12 月便向制定标准的蓝牙联盟进行了披露,以期能够及时地修复该漏洞。

Bluetooth SIG 在今日的新闻稿中称,他们已经更新了蓝牙的核心规范,以防止强制降级至经典版蓝牙协议的 BIAS 身份欺骗攻击,预计蓝牙设备制造商也会在未来几个月内推出相关固件更新。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6828742055016006157/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部