时间:2019-08-20 | 栏目:新闻 | 点击:次
8月20日消息,CISPA(IT安全、隐私和责任中心)的研究人员发现一个蓝牙安全漏洞,通过这一漏洞可以监听甚至改变蓝牙连接设备之间传输的数据,对用户的安全和隐私构成威胁。不过目前有许多公司,例如苹果已经发布了修补这一漏洞的更新补丁。
根据蓝牙协议,设备之间的蓝牙连接是需要加密的。据悉,KNOB漏洞并不是直接破解蓝牙连接的密钥,而是强制两台蓝牙连接设备在连接期间设置一个较弱的密码,甚至是单个字符。这样更容易破解,攻击者破解密码后可以监听甚至改变蓝牙连接设备之间传输的数据,并且不会被发现。由于蓝牙连接的性质,这种漏洞的范围很有限,因此在蓝牙连接过程中,攻击者需要在附近10米内。
此外,研究人员表示,已经对超过24种设备的17种蓝牙芯片(包括博通、高通、苹果、英特尔和群光等制造的芯片)进行了KNOB攻击测试,测试结果表明所有设备都容易受到攻击。但这一漏洞不会影响依赖蓝牙低功耗标准的设备,如可穿戴设备等。
蓝牙协议的标准组织Bluetooth SIG表示,目前没有证据表明该漏洞已经被恶意使用。但Bluetooth SIG还是更新了蓝牙核心规范,设备制造商可以将蓝牙连接密钥设置为至少7个字符,以确保不会被攻击。目前已知,苹果已经发布修补KNOB蓝牙漏洞的补丁,苹果用户注意及时更新。