據外媒,國外某研究團隊披露了一個新的漏洞,可以讓攻擊者欺騙現代藍芽裝置,使其與偽裝成受信任的惡意裝置配對。這個安全漏洞被團隊稱為藍芽冒充攻擊(BIAS),影響了一系列使用藍芽的裝置,包括iPhone、iPad和Mac。
新的藍芽漏洞被發現
從本質上說,BIAS攻擊利用了藍芽裝置如何處理長期連線的漏洞。當兩臺藍芽裝置配對後,它們在一個“連結金鑰 ”上達成一致,這樣它們就可以在不經過配對過程的情況下重新連線到對方。瑞士洛桑聯邦理工學院的研究人員發現,他們能夠在不知道這個連結金鑰的情況下,欺騙之前配對過的裝置的藍芽地址來完成認證過程。
具體地說,當攻擊裝置假裝是一個只支援單邊認證的先前受信任的裝置時,該漏洞就會啟動--這是藍芽中最低的安全設定。通常情況下,使用者的裝置將是驗證該連線是否有效的裝置。然而,透過使用一種被稱為“角色切換”的策略,攻擊者可以欺騙認證,並與使用者裝置建立安全連線。
結合其他藍芽漏洞,如藍芽金鑰協商(KNOB),攻擊者可以破壞在安全認證模式下執行的裝置。一旦BIAS攻擊成功,被攻擊的裝置就可以被用來進行其他的利用,包括訪問透過藍芽傳送的資料,甚至控制之前配對的裝置所擁有的功能。
由於藍芽連線通常不需要使用者進行明確的互動,因此BIAS和KNOB攻擊也是隱蔽的,可以在使用者不知情的情況下進行。
【ZOL客戶端下載】看最新科技資訊,APP市場搜尋“中關村線上”,客戶端閱讀體驗更好。
(7444304)