君子以泽,天下高月小说,玄幻小说完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

低功耗藍(lán)牙漏洞可用于解鎖許多設(shè)備？

NCC集團(tuán)研究人員發(fā)現(xiàn)的藍(lán)牙低功耗漏洞可能被攻擊者用來(lái)解鎖特斯拉或其他具有汽車無(wú)鑰匙進(jìn)入的汽車、住宅智能鎖、樓宇門禁系統(tǒng)、手機(jī)、筆記本電腦等許多其他設(shè)備。

關(guān)于BLE漏洞

低功耗藍(lán)牙是由藍(lán)牙特別興趣小組開(kāi)發(fā)的數(shù)據(jù)共享協(xié)議，廣泛用于關(guān)鍵應(yīng)用中的近距離身份驗(yàn)證。

研究人員指出，發(fā)現(xiàn)的漏洞并不是可以通過(guò)簡(jiǎn)單的軟件補(bǔ)丁修復(fù)的傳統(tǒng)錯(cuò)誤，也不是藍(lán)牙規(guī)范中的錯(cuò)誤。相反，它源于將BLE用于最初設(shè)計(jì)目的之外的用途。

許多產(chǎn)品實(shí)施基于藍(lán)牙低功耗的接近身份驗(yàn)證，當(dāng)確定可信BLE設(shè)備在附近時(shí)，產(chǎn)品會(huì)解鎖或保持解鎖狀態(tài)，針對(duì)BLE接近身份驗(yàn)證的中繼攻擊的可能性已經(jīng)多年來(lái)一直為人所知，但現(xiàn)有工具具有可檢測(cè)的延遲水平，并且無(wú)法使用鏈路層加密中繼連接。

不過(guò)，研究人員創(chuàng)建了一個(gè)新的BLE鏈路層中繼工具，該工具可以最大限度地減少往返延遲，使其處于正常響應(yīng)時(shí)間變化的范圍內(nèi)，并且可以發(fā)現(xiàn)連接參數(shù)的加密變化并繼續(xù)中繼連接。

受影響的車輛和設(shè)備

使工具強(qiáng)大的原因不僅在于我們可以讓藍(lán)牙設(shè)備相信我們就在它附近，即使是在數(shù)百英里之外，且供應(yīng)商采取了加密和延遲限制等防御性緩解措施，我們也可以做到理論上保護(hù)通信免受遠(yuǎn)距離攻擊者的攻擊。NCC集團(tuán)首席安全顧問(wèn)兼研究員Sultan Qasim Khan說(shuō)：“只需10秒，這些漏洞可以無(wú)休止地重復(fù)。”

他們已經(jīng)成功地測(cè)試了該工具并針對(duì)特斯拉Model3以及Kwikset和WeiserKevo智能鎖進(jìn)行了攻擊。

Khan告訴彭博新聞，他們能夠?qū)ζ渌囍圃焐毯涂萍脊镜脑O(shè)備進(jìn)行攻擊，而且攻擊所需的硬件，例如繼電器可以在網(wǎng)上以便宜的價(jià)格找到。盡管如此，攻擊者還需要掌握研究人員開(kāi)發(fā)的軟件，或開(kāi)發(fā)自己的軟件才能發(fā)動(dòng)攻擊。

攻擊者可以攻擊的其他設(shè)備包括啟用了藍(lán)牙接近解鎖功能的筆記本電腦、手機(jī)、其他智能鎖和樓宇訪問(wèn)控制系統(tǒng)，以及用于資產(chǎn)和醫(yī)療患者跟蹤的設(shè)備。

此安全問(wèn)題僅影響依賴于藍(lán)牙設(shè)備被動(dòng)檢測(cè)的系統(tǒng)，并且在解鎖依賴于通信協(xié)議組合的情況下無(wú)法利用。

如何防止被攻擊

如上所述，此BLE漏洞無(wú)法通過(guò)更新固件來(lái)修復(fù)，但可以采取一些措施來(lái)防范這些攻擊。

制造商可以通過(guò)在用戶的手機(jī)或遙控鑰匙靜止一段時(shí)間，基于加速度計(jì)時(shí)禁用感應(yīng)鍵功能來(lái)降低風(fēng)險(xiǎn)。系統(tǒng)制造商應(yīng)該讓客戶選擇提供第二個(gè)身份驗(yàn)證或用戶存在證明，例如，點(diǎn)擊手機(jī)應(yīng)用程序中的解鎖按鈕。

即使是擔(dān)心受影響產(chǎn)品的用戶也可以采取措施保護(hù)他們的資產(chǎn)，可以禁用不需要用戶明確批準(zhǔn)的被動(dòng)解鎖功能，或者在不需要時(shí)禁用移動(dòng)設(shè)備上的藍(lán)牙。

本文標(biāo)題：低功耗藍(lán)牙漏洞可用于解鎖許多設(shè)備？
轉(zhuǎn)載源于：http://m.fisionsoft.com.cn/article/dhsjccj.html

新聞中心

關(guān)于BLE漏洞

受影響的車輛和設(shè)備

如何防止被攻擊

其他資訊