小心此新的蓝牙漏洞使您的手机面临风险

导读 当我们谈论蓝牙设备时,就会想到我们的手机。现在,我们家中所有无线连接的神经中枢都面临着这种无线技术背后的组织所发现的新安全问题。几

当我们谈论蓝牙设备时,就会想到我们的手机。现在,我们家中所有无线连接的神经中枢都面临着这种无线技术背后的组织所发现的新安全问题。

几个小时前,发布了一系列提示,所有移动设备制造商和提供商都应遵循这些提示,以应对名为BLURtooth的新攻击,该攻击针对具有蓝牙功能的设备。这些专家声称,这是蓝牙标准中称为跨传输密钥派生(CTKD)的组件中的漏洞,该漏洞负责在将两个设备彼此配对时配置身份验证密钥。

A中的配对两个蓝牙设备两套不同的认证密钥的被配置用于标准蓝牙低功耗(BLE)和增强型数据速率(BR / EDR)基本/速度。CTKD的作用是准备密钥,并让配对的设备确定他们要使用的蓝牙标准版本。这是检测到此危险漏洞的地方。

SIG和CERT等组织警告说,由于在此过程中检测到此“故障”,攻击者可能会操纵CTKD组件来覆盖设备上的其他蓝牙身份验证密钥。这样,可以授予攻击者通过蓝牙连接到同一设备上其他兼容蓝牙的服务/应用程序的权限。

最“棘手”的事情是,今天,所有使用Bluetooth 4.0到5.0标准的设备都容易受到这些攻击的侵害,并且这些是我们手机上使用最广泛的版本。作为回报,最近几个月购买的可在Bluetooth 5.1标准下运行的智能手机具有可防止此类攻击的功能,因此没有问题。

防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境,避免中间人攻击或与不可靠的设备配对。但是,已经确认正在开发补丁程序以消除此漏洞,以期尽快将其提供给制造商,以将其作为受影响终端的固件更新。目前,我们只能在移动设备上控制蓝牙设备,然后等待解决方案。

要了解您的手机是否受到此故障保护,以及是否已收到针对BLURtooth攻击 的补丁程序,可以检查手机的固件版本和操作系统中提供的信息,并找到标识为CVE-2020-15802的标识符。结束此漏洞。