快科技11月30日消息�����,近日�����,來自Eurecom的安全人員分享了六種統稱為“BLUFFS”新型攻擊方式,攻擊發現者表示�����,BLUFFS利用了藍牙標準中兩個以前未知的漏洞�����。Qp028資訊網——每日最新資訊28at.com
該漏洞被標識為CVE-2023-24023,并非針對特定的硬件或軟件配置�����,而是影響自2014年底至今的所有藍牙設備�����,藍牙4.2至5.4版本的所有設備均存在被劫持的風險����。Qp028資訊網——每日最新資訊28at.com
Qp028資訊網——每日最新資訊28at.com
Eurecom展示了針對多種設備的攻擊結果�,結果顯示,包含iPhone 7/12/13���、Pixel 2/6、小米10T以及AirPods Pro在內的設備���,六種攻擊方式至少有三種是有效的。Qp028資訊網——每日最新資訊28at.com
考慮到藍牙作為一種廣泛應用的成熟無線通信標準�,以及受到這些漏洞影響的版本��,“BLUFFS”可能對數十億設備構成威脅,包括筆記本電腦���、智能手機和其他移動設備。Qp028資訊網——每日最新資訊28at.com
“BLUFFS”攻擊旨在破壞藍牙會話的過去和未來的保密性�,對設備之間的通信造成威脅��,其通過利用四個會話密鑰派生過程中的漏洞(其中兩個是新的)來實現。Qp028資訊網——每日最新資訊28at.com
Qp028資訊網——每日最新資訊28at.com
迫使派生出一個短且容易預測的會話密鑰(SKC)��,攻擊者通過暴力破解密鑰���,能夠解密過去的通信內容����,并解密或操控將來的通信。Qp028資訊網——每日最新資訊28at.com
無論受害者是否支持安全連接(Secure Connections, SC)或傳統安全連接(Legacy Secure Connections, LSC),這些攻擊方式都能夠實施���。Qp028資訊網——每日最新資訊28at.com
藍牙SIG收到該報告后發布了一份聲明,建議實施各種強加密措施,例如拒絕連接強度低于七個字節的連接,使用“Security Mode 4 Level 4”��,并在配對時僅使用安全連接模式進行操作�。Qp028資訊網——每日最新資訊28at.com
標簽:
津公網安備 12010102000574號