FreeBuf|你还敢开你的蓝牙吗?,漏洞问题频发( 二 )
但是安全研究团队则发现了在这一过程中的一些安全问题:
设备重新连接期间 , 身份验证是可选的 , 而不是强制性的;
如果用户的设备无法强制IoT设备对通信的数据进行身份验证 , 则可能会绕过身份验证 。
【FreeBuf|你还敢开你的蓝牙吗?,漏洞问题频发】因此 , 黑客可以利用这一安全“Bug”进行BLESA攻击 。 附近的攻击者绕过了重新连接验证 , 并将带有错误信息的欺骗数据发送到BLE设备 , 并诱使操作员和自动化流程做出错误的操作决定 。
BLESA攻击的简单演示
哪些BLE软件堆栈容易受到攻击?
研究人员发现 , BlueZ(基于Linux的IoT设备) , Fluoride(安卓)和iOSBLE堆栈都容易受到BLESA攻击 , 而Windows设备中的BLE堆栈则不受影响 。 目前该漏洞的安全补丁已发布 。
尽管如此 , 仍有很大一部分的IoT设备由于已经出售并且没有内置的更新机制而面临风险 , 这意味着这些设备无法安装安全补丁 。
蓝牙安全是数据传输重要一环据测算 , 预计到2022年 , 支持蓝牙功能的设备数量将从现在的42亿提升至52亿 , 相关的安全问题将会变得日益严峻 。 安全漏洞、用户隐私等问题如何避免 , 如何解决 , 始终是人们要面临的重要难题 。
然而 , 从法律层面来说 , 如今蓝牙相关的安全标准才刚出台 , 盗用、滥用蓝牙数据法律管制尚且还不足 。 2018年6月11日 , 全国信息安全标准化技术委员会秘书处就国家标准《信息安全技术蓝牙安全指南》发出了征求意见稿 。 2020年4月28日 , 该指南发布 , 将于2020年11月1日起实施 。
在攻击层面 , 针对蓝牙数据传输的不同环节 , 黑客攻击手法多样 , 安全问题层出不穷 , 越来越复杂 , 越来越隐蔽 。 所以 , 相关厂商要重视这一环节的安全性 , 将安全意识贯穿始终 , 而非“打地鼠”式地被动解决安全问题 。
对此 , 相关安全研究专家表示应做好蓝牙安全防护措施:
1.应该进一步加强相关安全标准的完善 , 对蓝牙数据的盗用、滥用加大惩处 。
2.技术方面 , 企业和厂商应加强蓝牙设备的配对和连接环节 , 比如 , 在配对时 , 增加验证配对密钥环节;在连接时 , 要使用相互身份验证方式来保证连接安全 。 硬件上可采用高安全性的蓝牙系统芯片和模块 , 减少安全漏洞带给用户的影响 。
3.还应加强云端数据安全存储保护 , 厂商应尽量选择高安全性的服务商 , 及时备份用户信息、加密传输重要文件等 。
文章图片
文章图片
推荐阅读
- 科技小乐乐|为什么国内有人已拿到iPhone12却不敢开机?
- 定焦科技港|Y73s或许是你的首选对象,千元5G手机怎么选?vivo
- 科技客评|这款你的手机里一定不能没有,好用app解放上班族的大脑
- 5G|你的iPhone12买早了!中国院士说出5G真相,表面繁荣真的很可怕!
- |最美手机实锤了!小挖孔+120Hz+双面玻璃,看看是你的菜吗?
- |手机:多长时间更换一次手机是正确的?你的手机用多长时间了?
- 澄澈的眼|说明被“监听”了!请尽快自查,如果你的手机出现“3大症状”
- |网络赚钱2020:做视频别人不愿意告诉你的东西
- 君说数码|高速硬盘盒,让你的老旧硬盘绽放第二春,ORICO
- 做你的宇航员|如何选择网络客服外包公司