• 首頁 > 信息安全 > 正文

    藍牙冒充攻擊(BIAS)威脅數十億設備

    2020-05-21 10:04:47  來源:FreeBuf

    摘要:Boffins披露了一個被稱為BIAS的藍牙安全漏洞,攻擊者可能會利用該漏洞欺騙遠程配對的設備。
    關鍵詞: 攻擊 設備
      Boffins披露了一個被稱為BIAS的藍牙安全漏洞,攻擊者可能會利用該漏洞欺騙遠程配對的設備。
     
      作為一種廣泛應用于數十億臺設備使用的無線通信。藍牙(BR/EDR)標準包括了傳統的身份驗證過程和安全的驗證過程。兩個藍牙設備如果要建立加密連接,則必須使用鏈接密鑰相互配對。但一旦兩個藍牙設備成功配對連接后,下一次它們能夠不經過配對過程而重新連接。
     
      BIAS攻擊就利用了這一點,影響數十億藍牙設備。
     
      A和B是兩個曾經建立過連接的正常藍牙設備。然后,攻擊者的攻擊目標選為B,這時候,他只需要知道A的藍牙地址,然后拿出一個設備用來冒充A,我們稱之為A’。
     
      當A’出現在B的無線范圍內,并且偽裝成是一個只支持單邊認證的設備A,這時候,漏洞就會啟動,A’瞞天過海,和B成功建立連接,并且可能在攻擊成功后,利用B設備獲取相關權限,傳輸數據等。
     
      根據報告,此漏洞影響了藍牙基本速率/增強數據速率,其中,iPhone8及以上版本、2017年版MacBook設備及以上版本、2018年的iPad機型及以上版本同樣易受攻擊。而專家對多達30個藍牙設備進行了測試,發現它們也容易受到BIAS攻擊。
     
      最后,BIAS是第一個被發現的與藍牙安全連接建立身份驗證、對抗角色切換以及安全連接降級有關的問題,又因為建立藍牙安全連接不需要用戶交互,因此攻擊是隱蔽的,危害更大。盡管藍牙特別興趣小組(SIG)已經更新了藍牙核心規范來緩解這一漏洞,但仍需謹慎,后續關注蘋果等廠商是否推出固件或軟件補丁,配合修復措施。

    第三十屆CIO班招生
    法國布雷斯特商學院碩士班招生
    北達軟EXIN網絡空間與IT安全基礎認證培訓
    北達軟EXIN DevOps Professional認證培訓
    責編:zhangwenwen
    三级黄影片大全性爱视频 - 视频 - 在线观看 - 影视资讯 - 铭丽网