行业资讯

新的蓝牙漏洞或将影响超十亿设备

2019-08-20 14:54:28 76

小编来报:此次发现的蓝牙漏洞会影响所有支持蓝牙BR/EDR的设备,总数可达十亿。


据外媒报道,近日,研究人员发现了一个蓝牙密钥协商(Key Negotiation of Bluetooth)漏洞(CVE-2019-9506),该漏洞可能会影响超过十亿个支持蓝牙BR / EDR的设备据了解,蓝牙BR/EDR意为蓝牙基本速率/增强数据速率(Basic Rate/Enhanced Data Rate),是一种无线技术标准,通常用于短距离的不间断无线连接。



专家表示,蓝牙BR/ EDR协议的安全性取决于其加密密钥的熵值,熵值越高,安全性越强。而含有该蓝牙漏洞的设备可能会同意采用安全性最低的熵值,从而允许黑客蛮力(brute-force)破解协商加密密钥。一旦解密,攻击者就可以捕获通过蓝牙传输的加密消息,还可注入有效密文。

据悉,发起针对此漏洞的攻击并不容易。首先,两个建立BR/EDR连接的蓝牙设备都必须带有这个漏洞。其次,攻击者无法攻击进行直接传输的配对设备。最后,已经开始信息传输的蓝牙对话无法被攻击。

图片关键词


专家建议,相关厂商应将BR/ EDR连接设定为需要采用较高的熵值,以防御此类攻击。为了修补此漏洞,包括微软、思科、谷歌、苹果和黑莓在内的相关供应商已经开始为其操作系统、固件和软件发布安全更新