您的位置:首页>动态 >内容

研究人员发现了一个新的蓝牙漏洞

2020-06-12 16:31:37来源:
导读 瑞士洛桑联邦理工学院(Ecole Polytechnique Federale de Lausanne)的研究人员公布了一种新的蓝牙漏洞的细节,该漏洞会影响数十亿个移动

瑞士洛桑联邦理工学院(Ecole Polytechnique Federale de Lausanne)的研究人员公布了一种新的蓝牙漏洞的细节,该漏洞会影响数十亿个移动设备和可穿戴设备,并允许聪明的攻击者伪装成远程配对设备。

该攻击方法称为蓝牙模拟攻击或(BIAS),与蓝牙经典支持两种设备间的无线数据传输方式有关:基本速率(BR)和增强数据速率(EDR)。

学者们解释说:“蓝牙规范中包含了一些漏洞,可以在建立安全连接时进行模拟攻击。[…这些漏洞包括缺乏强制的相互认证、过度允许角色转换以及认证程序降级。”

更积极的一点是,为了使偏见成为一种可行的选择,攻击者必须把他们的设备带到你的范围内。然后,为了执行这项技术,他们必须窃听你的设备和其他设备(比如蓝牙耳机)之间的BR或EDR连接,并找出它们的地址。

该漏洞允许黑客利用这些信息冒充从设备或主设备,这意味着他们既可以从目标设备读取信息,也可以向其传输数据。这是通过模仿以前受信任的设备并声称只支持单边身份验证(这是蓝牙安全的最低级别)来实现的。

研究人员指出,这些攻击可以与其他攻击相结合,如旋钮,而且可以很容易地使用低成本设备,如树莓派。在他们的论文中,他们评估了30种独特的蓝牙设备,这些设备配备了28种不同的蓝牙芯片,其中包括苹果、诺基亚、三星和谷歌的几款智能手机,以及惠普和联想的笔记本电脑。

根据调查结果,蓝牙技术联盟对蓝牙核心规范引入了大量的更改“澄清角色允许开关时,需要相互的身份验证在遗留身份验证和推荐检查加密类型,以避免降级的遗留加密安全连接。”

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章