近日據(jù)外媒報(bào)道，新型BIAS攻擊可通過Apple、Broadcom、賽普拉斯、英特爾、三星等各大公司的藍(lán)牙設(shè)備和固件進(jìn)行網(wǎng)絡(luò)攻擊。

近日，專家披露了藍(lán)牙無線協(xié)議中的一個(gè)新漏洞，該漏洞被廣泛用于互聯(lián)網(wǎng)現(xiàn)代設(shè)備，例如智能手機(jī)，平板電腦，筆記本電腦和智能IoT等。據(jù)悉，漏洞代號(hào)為BIAS，它影響到經(jīng)典版藍(lán)牙協(xié)議，也被稱為基本速率或增強(qiáng)型數(shù)據(jù)速率協(xié)議。

根據(jù)研究，BIAS安全缺陷在于設(shè)備連接長期密鑰的過程中。對(duì)于長期密鑰，更詳細(xì)的解釋是，當(dāng)兩個(gè)藍(lán)牙設(shè)備首次配對(duì)成功時(shí)，它將生成一串密鑰，而不必在每次藍(lán)牙設(shè)備連接時(shí)都需要經(jīng)歷冗長的配對(duì)過程。

但是，研究人員表示，他們?cè)诮壎ㄉ矸蒡?yàn)證的過程中發(fā)現(xiàn)了BIAS漏洞。該漏洞可能使攻擊者欺騙先前配對(duì)或綁定的設(shè)備身份，并在成功進(jìn)行身份驗(yàn)證后連接到另一個(gè)設(shè)備，這個(gè)操作無需知道之前建立的長期配對(duì)密鑰。一旦BIAS攻擊成功，攻擊者便可以訪問或控制另一個(gè)藍(lán)牙設(shè)備。

研究小組表示，他們對(duì)多種設(shè)備進(jìn)行了測(cè)試，包括智能手機(jī)（iPhone、三星、谷歌、諾基亞、LG、摩托羅拉），平板電腦（iPad），筆記本電腦（MacBook、HP Lenovo），耳機(jī)（飛利浦、Sennheiser） ，以及片上系統(tǒng)板（Raspberry Pi、賽普拉斯）等都會(huì)受到該漏洞影響，而且還有很多未來得及監(jiān)測(cè)的設(shè)備沒有揭露。

他們還表示，對(duì)于該漏洞如果攻擊者將BIAS和KNOB結(jié)合在一起，即使以安全身份驗(yàn)證模式運(yùn)行藍(lán)牙設(shè)備，黑客也可以破壞身份驗(yàn)證。因此，藍(lán)牙設(shè)備必須同時(shí)接收針對(duì)BIAS（CVE-2020-10135）和KNOB（CVE-2019-9506）攻擊的補(bǔ)丁程序設(shè)備系統(tǒng)才能完全安全。

目前，藍(lán)牙SIG 在新聞稿中表示，他們已經(jīng)更新了藍(lán)牙核心規(guī)范，以防止BIAS攻擊者將藍(lán)牙經(jīng)典協(xié)議從“安全”身份驗(yàn)證方法降級(jí)為“傳統(tǒng)”身份驗(yàn)證模式，從而成功進(jìn)行BIAS攻擊。預(yù)計(jì)藍(lán)牙設(shè)備供應(yīng)商將在未來幾個(gè)月內(nèi)推出固件更新以解決該問題，但是這些藍(lán)牙設(shè)備更新的狀態(tài)和可用性目前尚不清楚，即使對(duì)于研究團(tuán)隊(duì)而言也是很難判斷更新的效果。

來源：E安全

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明