新的安全漏洞让攻击者伪造出可信的蓝牙外设!
分类:新闻资讯
时间:2020-05-21 10:05:53
据外媒报道,一个研究团队表露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。
从本质上说,BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后,它们在一个“链接密钥”上达成一致,这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究职员发现,他们能够在不知道这个链接密钥的情况下,欺骗之前配对过的设备的蓝牙地址来完成认证过程。
更具体地说,当攻击设备假装是一个只支持单边认证的先前受信任的设备时,该漏洞就会启动--这是蓝牙中最低的安全设置。通常情况下,用户的设备将是验证该连接是否有效的设备。然而,通过使用一种被称为“角色切换”的策略,攻击者可以欺骗认证,并与用户设备建立安全连接。
结合其他蓝牙漏洞,如蓝牙密钥协商(KNOB),攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功,被攻击的设备就可以被用来进行其他的利用,包括访问通过蓝牙发送的数据,甚至控制之前配对的设备所拥有的功能。
由于蓝牙连接通常不需要用户进行明确的交互,因此BIAS和KNOB攻击也是隐蔽的,可以在用户不知情的情况下进行。
谁会受到BIAS攻击的威胁?
这个缺陷只影响到蓝牙基本速率/增强数据速率,也就是经典蓝牙。但这仍然使相对较新的苹果设备受到攻击,包括iPhone8及以上版本、2017年版MacBook设备及以上版本、2018年的iPad机型及以上版本。
为了实施攻击,不良行为者需要在易受攻击设备的蓝牙范围内,并知道之前配对设备的蓝牙地址。对于一个熟练的攻击者来说,找到这些蓝牙地址相对来说是件小事,即使是随机的。
研究职员已经通知了蓝牙特别爱好小组(SIG),该小组已经更新了蓝牙核心规范来缓解这一漏洞。苹果和三星等厂商很可能会在不久的将来推出固件或软件补丁,配合修复措施。
相关应用
相关文章推荐
-
Steam发现“改余额”漏洞,官方迅速修复
8 月 16 日消息 网络安全研究人员 @drbrix 发现了一个 Steam 的钱包余额的 bug,随后将其反馈给 Valve。后者在@drbrix 的帮助下成功修复了这一 Steam 的充值漏洞问题。...[详情]
-
苹果回应iPhone安全隐患:进侵需高本钱(对多数用户无威胁)
据7月20日消息,针对AmnestyInternational发布的苹果iPhone存在漏洞的报告,苹果公司在一份声明中表示,上述攻击非常复杂,通常需要数百万美元开发,被用来针对特定的人,苹果公司对...[详情]
- GitHub新规:可信管安全研究的漏洞和恶意代码
- 苹果修复macOS 11.4零日漏洞:可截屏或录视频
- 2019年热门开源项目当中的漏洞增加了一倍!
- WhatsApp漏洞或已暴露用户的手机号码!
- 微软分享COVID-19网络攻击威胁的签名数据
- 新的安全漏洞让攻击者伪造出可信的蓝牙外设!
- nsa病毒兵器库是什么 nsa病毒怎样处理
- 想哭病毒怎样处置 想哭病毒怎样预防
同类排行
最新新闻资讯
- 网上免费找工作的软件平台有哪些_2024下载什么软件找工作方便一点
- 最好的免费的观影神器有哪些软件_看免费的电视剧的软件app下载推荐
- 2024手机免费记账软件哪个好用一点_手机上最好用的记账软件排行榜前十名
- 可以免费观看的视频软件哪个好用一点_免费在线高清观看的视频app推荐
- 现在什么直播软件好看不收费的_不需要花钱不付费的直播平台推荐
- 最全的免费追漫软件有哪些推荐_免费可以看漫画的软件下载安装
- 2023什么软件可以免费看动漫_看番剧免费的app哪个平台最好用
- 现在用什么应用可以免费看漫画追漫_免费阅读漫画的神器app下载安装推荐
- 网上购物软件有哪些比较好用又正品_十大网上购物平台最好排行榜一览
- 如何在网上买火车票下载什么软件最好_手机上购买火车票最好的平台app下载
最近应用
-
WiFi万能钥匙极速版
2023-12-10
立即下载 -
小米路由管理器app
2023-12-09
立即下载 -
UC浏览器极速版app
2023-12-08
立即下载