收藏本站 | RSS订阅纳米科技-纳米资讯-纳米新闻
你现在的位置:首页 » 科技产品 » 正文
09月11日

蓝牙BLURtooth漏洞让攻击者覆盖蓝牙认证密钥

作者 : admin | 分类 : 科技产品 | 超过 9 人围观 | 已有 0 人发表了看法
原标题:蓝牙BLURtooth漏洞让攻击者覆盖蓝牙认证密钥

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation(CTKD)组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。

该组件的工作原理是为蓝牙低能(BLE)和基本速率/增强数据速率(BR/EDR)标准设置两套不同的认证密钥。CTKD的作用是准备好密钥,让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 "双模式 "功能。

但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告,攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥,并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。

在某些版本的BLURtooth攻击中,认证密钥可以被完全覆盖,而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。

蓝牙SIG组织官员表示,他们开始通知蓝牙设备的供应商关于BLURtooth攻击,以及他们如何在使用5.1标准时减轻其影响。在撰写本文时,补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,以防止中间人攻击,或通过社会工程(欺骗人类操作员)与流氓设备配对。

不过,蓝牙SIG组织预计在某个时间点会有补丁,并且被集成作为固件或操作系统更新提供给蓝牙备。目前,这些更新的时间表还不清楚,因为设备供应商和操作系统制造商通常在不同的时间表上工作,一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。

用户可以通过检查固件和操作系统的发布说明,查看CVE-2020-15802,即BLURtooth漏洞的bug标识,来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法,BLURtooth攻击是由洛桑联邦理工学院(EPFL)和普渡大学的两组学者独立发现的。

蓝牙BLURtooth漏洞让攻击者覆盖蓝牙认证密钥

上一篇:登陆港股 百胜中国拟数字化升级 下一篇:大朋VR完成数千万元战略投资,推动VR技术落地消费级市场
640*60广告位

额 本文暂时没人评论 来添加一个吧

发表评论

必填

选填

选填

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

欢迎访问纳米科技资讯网~
«   2020年9月   »
123456
78910111213
14151617181920
21222324252627
282930
搜索
网站分类
最近发表
标签列表