各大厂家蓝牙设备“纷纷沦陷”!新型BIAS漏洞攻陷各类设备
E安全5月21日讯 , 近日据外媒报道 , 新型BIAS攻击可通过Apple、Broadcom、赛普拉斯、英特尔、三星等各大公司的蓝牙设备和固件进行网络攻击 。
本文插图
近日 , 专家披露了蓝牙无线协议中的一个新漏洞 , 该漏洞被广泛用于互联网现代设备 , 例如智能手机 , 平板电脑 , 笔记本电脑和智能IoT等 。 据悉 , 漏洞代号为BIAS , 它影响到经典版蓝牙协议 , 也被称为基本速率或增强型数据速率协议 。
根据研究 , BIAS安全缺陷在于设备连接长期密钥的过程中 。 对于长期密钥 , 更详细的解释是 , 当两个蓝牙设备首次配对成功时 , 它将生成一串密钥 , 而不必在每次蓝牙设备连接时都需要经历冗长的配对过程 。
但是 , 研究人员表示 , 他们在绑定身份验证的过程中发现了BIAS漏洞 。 该漏洞可能使攻击者欺骗先前配对或绑定的设备身份 , 并在成功进行身份验证后连接到另一个设备 , 这个操作无需知道之前建立的长期配对密钥 。 一旦BIAS攻击成功 , 攻击者便可以访问或控制另一个蓝牙设备 。
本文插图
研究小组表示 , 他们对多种设备进行了测试 , 包括智能手机(iPhone、三星、谷歌、诺基亚、LG、摩托罗拉) , 平板电脑(iPad) , 笔记本电脑(MacBook、HP Lenovo) , 耳机(飞利浦、Sennheiser), 以及片上系统板(Raspberry Pi、赛普拉斯)等都会受到该漏洞影响 , 而且还有很多未来得及监测的设备没有揭露 。
他们还表示 , 对于该漏洞如果攻击者将BIAS和KNOB结合在一起 , 即使以安全身份验证模式运行蓝牙设备 , 黑客也可以破坏身份验证 。 因此 , 蓝牙设备必须同时接收针对BIAS(CVE-2020-10135)和KNOB(CVE-2019-9506)攻击的补丁程序设备系统才能完全安全 。
【各大厂家蓝牙设备“纷纷沦陷”!新型BIAS漏洞攻陷各类设备】目前 , 蓝牙SIG 在新闻稿中表示 , 他们已经更新了蓝牙核心规范 , 以防止BIAS攻击者将蓝牙经典协议从“安全”身份验证方法降级为“传统”身份验证模式 , 从而成功进行BIAS攻击 。 预计蓝牙设备供应商将在未来几个月内推出固件更新以解决该问题 , 但是这些蓝牙设备更新的状态和可用性目前尚不清楚 , 即使对于研究团队而言也是很难判断更新的效果 。
推荐阅读
- 小墨看科技|手机游戏蓝牙耳机哪款好?618游戏蓝牙耳机购买清单
- V叔科技|颜值在线,好音质回归初心!Taylou T19真无线蓝牙耳机体验
- 炀炀玩数码|618首日开门红初战报道,vivo凭人气机型跃居各大品牌前列
- 科技小树|舒适度比较高的蓝牙耳机品牌都有什么?蓝牙耳机品牌排行!
- 科技小杂谈|618蓝牙耳机选购指南:高性能音质强悍的五大入耳式蓝牙耳机
- 我爱音频网|杰理AC6936D蓝牙音频SoC获倍思采用,支持蓝牙5.1,6mA超低功耗
- 闲搞机|不到一天卖出1.8万台,送蓝牙耳机+12期免息,vivo这款手机太牛了
- 科技小树|618买什么蓝牙耳机好?性价比高的无线耳机推荐!
- 科技小树|TWS蓝牙耳机哪款好用?618蓝牙耳机品牌排行榜!
- |高通推出 Wi-Fi 6E 和蓝牙 5.2 产品组合