立即更新你的Apple設備,以避免被藍牙漏洞攻擊
2019年08月22日15:09

美國負責監督通信技術的管理機構Bluetooth SIG,在向用戶發出警告時承認了一個嚴重的新安全漏洞。

安全、隱私和責任中心(CISPA)的研究人員首次發現了這一漏洞,它可能會讓不法分子泄露甚至改變藍牙設備之間發送的數據。

研究人員將這個漏洞稱之為KNOB,或藍牙密鑰協商。這是因為攻擊發生在兩台設備相互連接(或“協商”連接)的時候。

立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測
立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測

“KNOB攻擊對所有藍牙用戶的安全和隱私構成嚴重威脅。”研究人員在介紹時說。“我們很驚訝地發現了一個廣泛使用20年的標準中的基本安全問題。”

立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測
立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測

KNOB的工作原理

1、該漏洞不是試圖打破藍牙加密,而是通過強製兩台設備在連接時使用較弱的加密來實現。

2、如果攻擊者在連接期間能夠“介入”兩個設備之間,他們可以強製兩個設備建立一個具有少量字符的加密密鑰。事實上,它甚至可以像單個字符一樣短。顯然,較小的加密密鑰更容易暴力破解。

3、幸運的是,由於漏洞的性質,它利用一個非常狹窄的機會窗口。在兩個設備之間的實際藍牙連接過程中,攻擊者可能需要在場。

此外,該漏洞不會影響依賴藍牙低功耗標準的設備,例如可穿戴設備。

立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測
立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測

在其安全警報中,藍牙技術聯盟指出,沒有證據表明該漏洞已被惡意使用。另一方面,該組織承認他們沒有辦法解決攻擊。

設備製造商可以通過確保藍牙連接具有最少七個字符的加密密鑰來保護其用戶免受此漏洞的影響。

立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測
立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測

立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測
立即更新你的Apple設備,以避免被藍牙漏洞攻擊_新浪眾測

許多公司,如Apple,已經在其最新的軟件更新中實施了緩解修復程式。

所有這些都告訴我們應該盡快更新到最新的操作系統版本。

這不是最近幾個月才曝光的唯一藍牙漏洞。早在6月,通信標準就發現了另一個可以讓用戶跟蹤的缺陷。

更多新聞