蓝牙是目前大部分无线连接的装置会使用的标准之一,如果标准本身有安全漏洞,受影响的装置数量将相当可观。最近蓝牙技术联盟表示,部分蓝牙规格有漏洞,可能会被利用入侵。
蓝牙技术联盟(Bluetooth Special Interest Group)最近表示,他们发现代号为 BLURtooth(CVE-2020-15802)的漏洞,藏在蓝牙 BR / EDR 版本 4.2~5.0 里,影响大量蓝牙装置。此漏洞让装置容易受金钥覆盖攻击,使攻击者透过降低加密金钥强度,或使用未经身份验证的金钥,盖掉经过身份验证的金钥,获得不受限制的文件或服务的其他存取权。
这对无线键盘、耳机、喇叭和音响产品而言,有机会造成令个资或机密暴露。目前蓝牙组织已与成员企业联络,鼓励他们推出修补档案杜绝漏洞,也鼓励蓝牙装置用户记得更新系统。目前最新版为 5.2,已没有此问题,不过要利用这漏洞也不容易,因此用户无需太担心。
- Billions of Bluetooth gadgets bothered by ‘BLURtooth’ miscreant-in-the-middle bug
(本文由 Unwire Pro 授权转载;首图来源:Created by Freepik)
延伸阅读:
- Android 装置惊爆 BlueFrag 安全漏洞,骇客可在蓝牙上执行任意程式码
- 蓝牙被发现存在资安漏洞,骇客可隔空截取装置资讯
- 蓝牙发现新漏洞,微软、苹果产品受影响
