新的安全漏洞让攻击者伪造出可信的蓝牙外设

安全 漏洞
据外媒,国外某研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。

 据外媒,国外某研究团队披露了一个新的漏洞,可以让攻击者欺骗现代蓝牙设备,使其与伪装成受信任的恶意设备配对。这个安全漏洞被团队称为蓝牙冒充攻击(BIAS),影响了一系列使用蓝牙的设备,包括iPhone、iPad和Mac。

新的蓝牙漏洞被发现

从本质上说,BIAS攻击利用了蓝牙设备如何处理长期连接的漏洞。当两台蓝牙设备配对后,它们在一个“链接密钥 ”上达成一致,这样它们就可以在不经过配对过程的情况下重新连接到对方。瑞士洛桑联邦理工学院的研究人员发现,他们能够在不知道这个链接密钥的情况下,欺骗之前配对过的设备的蓝牙地址来完成认证过程。

具体地说,当攻击设备假装是一个只支持单边认证的先前受信任的设备时,该漏洞就会启动--这是蓝牙中最低的安全设置。通常情况下,用户的设备将是验证该连接是否有效的设备。然而,通过使用一种被称为“角色切换”的策略,攻击者可以欺骗认证,并与用户设备建立安全连接。

结合其他蓝牙漏洞,如蓝牙密钥协商(KNOB),攻击者可以破坏在安全认证模式下运行的设备。一旦BIAS攻击成功,被攻击的设备就可以被用来进行其他的利用,包括访问通过蓝牙发送的数据,甚至控制之前配对的设备所拥有的功能。

由于蓝牙连接通常不需要用户进行明确的交互,因此BIAS和KNOB攻击也是隐蔽的,可以在用户不知情的情况下进行。

 

责任编辑:华轩 来源: 中关村在线
相关推荐

2020-05-20 09:34:35

安全 漏洞技术

2014-10-08 09:25:30

2024-10-18 17:10:45

2021-04-29 09:36:23

攻击漏洞Kubernetes

2020-06-30 09:41:23

漏洞网络安全DNS

2014-08-20 09:44:57

2023-02-21 14:01:24

2021-09-03 14:59:10

Linux漏洞攻击

2022-05-15 15:15:57

恶意软件WhatsApp网络攻击

2021-05-27 09:51:20

漏洞

2021-12-31 11:35:40

蓝牙漏洞玩具Fisher-Pric

2014-07-30 10:18:51

Android

2021-08-26 05:36:52

零日漏洞漏洞网络攻击

2021-04-22 09:33:37

Azure漏洞攻击

2021-03-15 10:03:29

Google安全攻击木马

2021-07-22 16:09:02

漏洞WindowsLinux

2009-09-30 11:10:31

2023-01-31 14:55:06

2023-08-25 13:47:53

2022-02-16 11:51:16

McAfee漏洞Windows
点赞
收藏

51CTO技术栈公众号