蓝牙核心规范(BluetoothCore)和蓝牙网状网络连接技术规范

蓝牙核心和蓝牙网格配置文件规范最近暴露了安全漏洞,网络犯罪分子可以利用这些漏洞进行中间人攻击。根据卡内基梅隆大学 CERT 协调中心的一份报告ssl 中间人攻击 原理,“支持蓝牙核心和 Mesh 规范的设备容易受到模拟攻击和 AuthValue 泄漏,这可能允许攻击者在配对过程中模拟合法设备”。

这两个蓝牙规范确保了多对多蓝牙通信的协议,并允许设备通过自组织网络共享数据。蓝牙模拟攻击,也称为 BIAS,允许网络犯罪分子与受害者建立安全连接,并有效绕过蓝牙的身份验证机制。

据安全研究人员称,与蓝牙身份验证程序的安全建立、不良功能切换和安全连接降级有关的第一个问题是 BIAS 攻击。它们相当稳定,因为安全的蓝牙连接不需要用户交互。为了确认 BIAS 攻击确实有效,研究人员针对来自主要技术供应商的 31 款蓝牙设备 (28) 测试了苹果、高通、英特尔、赛普拉斯、博通、三星和 CSR 的所有主要蓝牙版本。特定的蓝牙芯片)进行了测试。

图片[1]-蓝牙核心规范(BluetoothCore)和蓝牙网状网络连接技术规范-老王博客

在蓝牙 Mesh Profile 规范 1.0 和 1.1 版本中发现了四个漏洞。完整的漏洞包括:

受这些安全漏洞影响的产品供应商包括 Android Open Source Project (AOSP)、Cisco、Cradlepoint、Intel、Microchip 和 Red Hat。AOSP、思科和 Microchip 表示,他们正在努力缓解这些问题。

负责监督蓝牙标准开发的蓝牙特别兴趣小组(Bluetooth SIG)今天早些时候也发布了安全公告,指出了针对影响这两个易受攻击标准的每个安全漏洞的建议。蓝牙 SIG 表示,该组织正在与成员公司就漏洞及其修复方法进行广泛沟通ssl 中间人攻击 原理,并鼓励他们快速集成任何必要的补丁。和以前一样,蓝牙用户应确保安装操作系统供应商提供的最新推荐更新。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论