「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
藍牙配對功能不僅可以在兩部手機、電腦之間傳送照片檔案,還能連接耳機聽音樂,然而近日卻有傳出藍牙無線通訊協定藏有安全漏洞,駭客偽裝成通過身份驗證的藍牙裝置與使用者的藍牙進行配對,進而存取使用者裝置的資料,受影響的裝置包括 Apple 蘋果 iPhone、iPad、MacBook 以及 Android 手機等。
發現藍牙資安漏洞的是瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne),據最新的研究報告指出,這次的藍牙協定漏洞名稱是「 Bluetooth Impersonation Attacks 偽裝藍牙攻擊」,簡稱 BIAS。它藏在藍牙 6 個核心配置的其中 2 個,包括 Basic Rate 基本傳輸速率 和 Enhanced Data Rate 增強資料速率。
藏著漏洞的 2 個藍牙協定核心配置主要用在低耗電的短距通訊上,漏洞允許駭客的裝置偽裝成先前曾經和使用者配過的藍牙裝置,進而繞過安全連接必須進行的密鑰認證程序。如此一來,使用者在無預警下與駭客偽裝的裝置配對,而駭客也就得以控制使用者裝置進而竊取資料。
根據研究報告內容,研究人員找來 iPhone 8、iPhone 7 Plus、 iPhone 6、iPhone 5S、iPad 2018、Macbook Pro 2017,以及 Android 系統的 Google Pixel 2、Pixel 3 等共 30 款主流消費電子產品進行測試,其中有 28 款電子產品藍牙功能都會受到 BIAS 偽裝藍牙攻擊。
報告進一步指出,受影響的藍牙晶片來自 Intel 英特爾、Qualcomm 高通、Samsung 三星、CSR(Cambridge Silicon Radio)…等多家公司,而且波及市場上的數十億藍牙裝置,影響範圍非常廣泛。
針對這項漏洞,SIG 藍牙技術聯盟公布暫時補救措施,建議藍牙晶片供應商應禁止降級至長度低於 7 Octet 的加密金鑰,並指出主機在執行認證時應啟用交互認證、最好是支援 Secure Connections Only 唯一安全連線模式。同時,SIG 也更新了藍牙核心規範,防止強制降級至經典藍牙協議的偽裝攻擊。
延伸閱讀:
網路釣魚攻擊目標最愛科技、銀行和媒體串流,Apple 蘋果最常被惡意仿冒
任天堂警告 Nintendo Switch 大量帳戶被駭,建議啟用雙步驟驗證保障安全
物聯網裝置注意了!2020 年2月《全球威脅指數》報告指出 Mirai 殭屍網路成長近18%!
圖片及資料來源:Redmondpie
|
