BLURtooth攻击会覆盖蓝牙加密密钥
两个研究小组上周报告了一个可能影响数百万智能手机,平板电脑和物联网设备用户的蓝牙漏洞。美国和瑞士大学的研究小组表示,蓝牙4.2和5.0版中的一个漏洞使攻击者可以进入通过蓝牙无线连接到设备的任何配件。
普渡大学和瑞士洛桑联邦理工学院的研究人员表示,此漏洞利用了最早与蓝牙4.0一起实施的Just Works安全协议,这使攻击者更容易使用暴力破解来建立连接。当两个设备配对时,安全措施对身份验证的保护很弱。
攻击者必须在距离目标设备相对较近的范围内,对于最强大的设备,它的范围从10码到100码。这些通常被称为“中间人攻击”,因为黑客实际上位于设备的无线范围内。
制定标准并处理蓝牙技术许可的组织蓝牙特别利益组织的发言人说,并非所有使用蓝牙4.2和5.0的设备都容易受到攻击。他说,受影响的设备是那些同时支持BR / EDR和LE连接以及交叉传输密钥派生(CTKD)的设备,并且经过编码以特定方式处理配对和派生密钥。
根据一份总结问题报告的报告,卡内基梅隆大学软件工程研究所的CERT协调中心指出,蓝牙使用了一种密钥生成类型CTKD,“可用于同时支持低能耗(BLE)和基本速率/增强的数据速率(BR / EDR)传输方法。” 总结说,这些被称为双模设备的设备可以使用两种传输方式进行一次配对,“同时生成BR / EDR和LE长期密钥(LTK),而无需第二次配对。” “在传输要求更高安全性的情况下,使用CTKD生成LTK或链接密钥(LK)的双模设备能够覆盖原始LTK或LK。”
这基本上意味着攻击者可以更改CTKD代码以覆盖设备上的蓝牙身份验证密钥。在某些情况下,身份验证密钥可以完全覆盖,而在其他情况下,可以更改密钥以削弱加密。
即使在这些条件下,如果制造商在生产过程中添加保护措施,某些设备也将不受黑客攻击。
蓝牙5.1提供了可防御BLURtooth攻击的配置。此外,根据蓝牙技术联盟(Bluetooth SIG)的建议,供应商将被告知如何加强设备以抵御此类入侵。
同时,尚无修补程序(用于固件或操作系统更新)可解决该问题。
免责声明:本文由用户上传,与本网站立场无关。财经信息仅供读者参考,并不构成投资建议。投资者据此操作,风险自担。 如有侵权请联系删除!
-
试驾极狐阿尔法S(ARCFOX αS)是一次令人印象深刻的体验。从咨询开始,品牌的专业客服迅速回应了我的疑问,...浏览全文>>
-
如果您想预约哈弗猛龙的试驾体验,可以按照以下步骤快速在4S店完成预约:首先,您可以通过哈弗汽车的官方网站...浏览全文>>
-
如果您想体验零跑汽车的试驾服务,可以通过以下步骤在4S店快速预约:首先,访问零跑汽车的官方网站或通过其官...浏览全文>>
-
试驾奔驰迈巴赫S级的预约流程简单清晰,以下是具体步骤:首先,访问奔驰官方网站或联系当地授权经销商。在网站...浏览全文>>
-
纳米01试驾流程通常包括以下几个步骤:第一步:预约试驾用户可以通过品牌官网、4S店或电话预约试驾。提前预约...浏览全文>>
-
奔腾B70是一款集时尚设计与卓越性能于一身的中型轿车,近期有幸对其进行了一次深度试驾。这款车型不仅外观大气...浏览全文>>
-
想要快速预约福特蒙迪欧的试驾体验驾驶乐趣?以下是一些简单步骤帮助您轻松完成:首先,访问福特官网或通过福...浏览全文>>
-
大众试驾,轻松搞定试驾想要深入了解一款车的性能与驾驶感受?试驾是最佳选择!无论是追求操控感的运动型轿车...浏览全文>>
-
试驾现代胜达时,您需要满足一些基本条件以确保安全和顺利的体验。首先,您必须持有有效的驾驶证,并且驾龄通...浏览全文>>
-
小鹏G7是一款备受关注的智能电动车,对于新手来说,试驾前需要了解一些关键步骤和注意事项,确保安全且充分体...浏览全文>>
- 哈弗猛龙预约试驾,如何在4S店快速预约?
- 零跑汽车试驾,如何在4S店快速预约?
- 江淮iEV7试驾预约预约流程
- 试驾MG4 EV全攻略
- 奥迪SQ5 Sportback预约试驾,线上+线下操作指南
- 全顺试驾预约,一键搞定,开启豪华驾驶之旅
- 魏牌预约试驾全攻略
- 试驾零跑汽车零跑C01,畅享豪华驾乘,体验卓越性能
- 试驾哈弗H6操作指南
- 零跑T03试驾,畅享豪华驾乘,体验卓越性能
- 菱势汽车预约试驾,轻松搞定试驾流程
- MINI试驾,线上+线下操作指南
- 试驾沃尔沃XC60,从预约到试驾的完美旅程
- 试驾QQ多米,畅享豪华驾乘,体验卓越性能
- 试驾丰田汉兰达,一键搞定,开启豪华驾驶之旅
- 力帆预约试驾,一键搞定,开启豪华驾驶之旅
- 阿维塔12预约试驾,4S店体验全攻略
- 试驾江铃E路顺V6,简单几步,开启完美试驾之旅
- 灵悉L试驾预约,如何享受4S店的专业服务?
- 极氪7X试驾,如何享受4S店的专业服务?