應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個(gè)人注冊登錄

藍(lán)牙曝新安全漏洞 或?qū)⒃O(shè)備數(shù)據(jù)暴露給黑客

2019-08-20 08:53 網(wǎng)易科技
關(guān)鍵詞:藍(lán)牙安全漏洞

導(dǎo)讀:8月17日,據(jù)外媒報(bào)道,多位安全研究人員日前在USENIX安全研討會(huì)上發(fā)表論文,介紹了一個(gè)新發(fā)現(xiàn)的藍(lán)牙漏洞,可能會(huì)將連接設(shè)備的數(shù)據(jù)暴露給黑客。

研究人員將這個(gè)漏洞命名為KNOB攻擊,即藍(lán)牙密鑰協(xié)商(Key Negotiation of Bluetooth)的縮寫。黑客可能會(huì)削弱藍(lán)牙設(shè)備的加密能力,然后窺探通信信息,或發(fā)送偽造信息來接管設(shè)備。

這個(gè)漏洞相當(dāng)聰明:它不是直接破壞加密功能,而是允許黑客首先迫使兩款藍(lán)牙設(shè)備使用較弱的加密功能,使破解加密變得更容易。

每次兩個(gè)藍(lán)牙設(shè)備連接時(shí),它們都會(huì)建立新的加密密鑰。如果攻擊者在設(shè)置過程中介入,他們可能會(huì)欺騙兩臺(tái)設(shè)備,讓它們選擇一個(gè)字符相對較少的加密密鑰。

盡管攻擊者仍然需要對其中一臺(tái)設(shè)備進(jìn)行強(qiáng)力攻擊,才能找出確切的密碼,但由于這個(gè)漏洞,攻擊可能在更短時(shí)間內(nèi)取得效果。

這一切都必須發(fā)生在“相對狹窄的時(shí)間窗口內(nèi)”。不過,大多數(shù)使用藍(lán)牙設(shè)備的人似乎并不需要太擔(dān)心。

為了實(shí)施這種攻擊,黑客必須參與藍(lán)牙設(shè)備的連接過程,在確定加密密鑰長度時(shí)阻止每臺(tái)設(shè)備的初始傳輸,并“在很短的時(shí)間內(nèi)”廣播自己的消息。黑客還必須在連接范圍內(nèi),并在每次想再次入侵時(shí)需要重復(fù)攻擊。

當(dāng)然,并非所有設(shè)備都容易受到攻擊。這個(gè)漏洞只適用于傳統(tǒng)藍(lán)牙設(shè)備,不包括低功耗藍(lán)牙,后者通常用于低功耗設(shè)備,如可穿戴設(shè)備。如果某些藍(lán)牙設(shè)備具有硬編碼的最低密碼強(qiáng)度,那么它們可能會(huì)受到保護(hù)。

藍(lán)牙技術(shù)背后的組織無法修復(fù)這個(gè)漏洞,但它將通過建議在易受攻擊的設(shè)備上實(shí)現(xiàn)最小密碼長度來防止這個(gè)漏洞。目前,“沒有證據(jù)”表明該漏洞被惡意利用。