English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
数十亿设备或将受到新的“ BLESA”蓝牙安全漏洞的攻击
文章来源:奥航智讯  作者:SCA  发布时间:2020-09-18  浏览次数:674


如今,数以亿计的智能手机、平板电脑、笔记本电脑和物联网设备正在使用蓝牙软件,需要警觉的是,这些软件很容易受到今年夏天披露的一个新的安全漏洞的攻击。


该漏洞被称为BLESA (Bluetooth Low Energy Spoofing Attack),会影响运行Bluetooth Low Energy (BLE)协议的设备。


据悉,BLE是原始蓝牙(经典)标准的精简版,旨在节省电池电量,尽可能长时间保持蓝牙连接。由于其节省电池的特性,BLE在过去的十年中被广泛采用,成为一种几乎无处不在的技术。


由于这种广泛采用,安全研究人员和学者多年来也多次对BLE的安全缺陷进行调查,经常发现重大问题。


然而,以前关于BLE安全问题的绝大多数研究几乎都只关注于配对过程,而忽略了BLE协议的大部分内容。普渡大学( Purdue University )组成的一个研究团队在着手调查BLE协议后,发现了安全问题。


他们把工作集中在“重新连接”过程上。在配对操作期间,两个BLE设备(客户端和服务器)相互验证之后,就会执行此操作。


当蓝牙设备移出范围,然后再移回到范围内时,也会发生重新连接。


正常情况下,当重新连接时,两台BLE设备应该检查彼此在配对过程中协商的密钥,然后重新连接并继续通过BLE交换数据。


但是普渡大学的研究小组说,他们发现官方的BLE规范没有包含足够强的语言来描述重新连接的过程。因此,有两个系统问题影响了软件供应链:


设备重新连接期间的身份验证是可选的,而不是强制的。


如果用户的设备未能强制物联网设备对所通信的数据进行身份认证,则可能会绕过认证。


这两个问题为BLESA攻击打开了大门——在此期间,附近的攻击者就可以绕过重连接验证,并向带有错误信息的BLE设备发送欺骗数据,并诱导使用者和自动化流程做出错误决定。


随后,研究人员分析了多种用于支持不同操作系统,包括基于linux的物联网设备、安卓、iOS等上的BLE通信的软件栈,都容易受到BLESA攻击,而Windows设备中的BLE堆栈则不受影响。


虽然可以通过更新来修复漏洞,糟糕的是,根据以前BLE的使用统计数据,研究团队认为使用易受攻击的BLE软件栈的设备数量有数十亿。其中,有一些早期的设备并未内置更新机制,这意味着这些设备将永远无法修补漏洞。


目前,这些设备的软件供应商对它们束手无策,正在等待一个补丁。(文章来源:E安全)


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司