以色列理工大学发现蓝牙配对安全漏洞,入侵者在两个装置进行蓝牙配对时,有机会可以界入通讯,进行窃听或改篡有关内容。新发现的蓝牙安全漏洞名为 CVE-2018-5383 ,许多主要装置的供应商 (例如 : Apple, Broadcom, Intel, 和 Qualcomm) 的用户都会受影响。
以色列理工大学指当蓝牙连接不同装置,例如手机和电脑时,两个装置会交换加密密钥 (encryption keys),但原来蓝牙的连接设计不需要两个装置都认证密钥。如果两个装置都不进行密钥认证,在无线覆盖范围内的攻击者在连接时可以界入通讯,双方通话以及传输的内容都有可能被第三者截听或篡改。好消息是,如果其中一个装置在交换加密密钥时完成认证,第三方便无法界入。
许多生产商都已修补这个漏洞。苹果因应问题,推出了 macOS High Sierra 10.13.5, iOS 11.4, watchOS 4.3.1 和 tvOS 11.4 四个更新了的系统。Intel 为 Windows 7 , 8.1 和 10 三个版本提供了更新版的蓝牙驱动程式。但修复需要由装置生产商提供,如果你的蓝牙没有开启自动更新的话,最好向生产商查询。
蓝牙技术发展机构 Bluetooth SIG 指目前为止并无发现因为这安全漏洞而发生的事件。但蓝牙档案传输在近年愈来愈流行,例如 Apple’s Handoff 用 Wi-Fi 传送档案的时候,也会用蓝牙进行连接。又或用户可能在蓝牙键盘上输入敏感的资讯。虽然要盗取数据,入侵者需要在一定的网络覆盖范围内。但很多蓝牙装置都要求重新连接,因此数据被盗的机会率也因此增加。
分享到:
閱讀更多 洛陽鏟 的文章
