E安全5月21日讯 ， 近日据外媒报道 ， 新型BIAS攻击可通过Apple、Broadcom、赛普拉斯、英特尔、三星等各大公司的蓝牙设备和固件进行网络攻击 。


本文插图

近日 ， 专家披露了蓝牙无线协议中的一个新漏洞 ， 该漏洞被广泛用于互联网现代设备 ， 例如智能手机 ， 平板电脑 ， 笔记本电脑和智能IoT等 。 据悉 ， 漏洞代号为BIAS ， 它影响到经典版蓝牙协议 ， 也被称为基本速率或增强型数据速率协议 。
根据研究 ， BIAS安全缺陷在于设备连接长期密钥的过程中 。 对于长期密钥 ， 更详细的解释是 ， 当两个蓝牙设备首次配对成功时 ， 它将生成一串密钥 ， 而不必在每次蓝牙设备连接时都需要经历冗长的配对过程 。
但是 ， 研究人员表示 ， 他们在绑定身份验证的过程中发现了BIAS漏洞 。 该漏洞可能使攻击者欺骗先前配对或绑定的设备身份 ， 并在成功进行身份验证后连接到另一个设备 ， 这个操作无需知道之前建立的长期配对密钥 。 一旦BIAS攻击成功 ， 攻击者便可以访问或控制另一个蓝牙设备 。


本文插图

研究小组表示 ， 他们对多种设备进行了测试 ， 包括智能手机（iPhone、三星、谷歌、诺基亚、LG、摩托罗拉） ， 平板电脑（iPad） ， 笔记本电脑（MacBook、HP Lenovo） ， 耳机（飞利浦、Sennheiser）， 以及片上系统板（Raspberry Pi、赛普拉斯）等都会受到该漏洞影响 ， 而且还有很多未来得及监测的设备没有揭露 。
他们还表示 ， 对于该漏洞如果攻击者将BIAS和KNOB结合在一起 ， 即使以安全身份验证模式运行蓝牙设备 ， 黑客也可以破坏身份验证 。 因此 ， 蓝牙设备必须同时接收针对BIAS（CVE-2020-10135）和KNOB（CVE-2019-9506）攻击的补丁程序设备系统才能完全安全 。
【各大厂家蓝牙设备“纷纷沦陷”！新型BIAS漏洞攻陷各类设备】目前 ， 蓝牙SIG 在新闻稿中表示 ， 他们已经更新了蓝牙核心规范 ， 以防止BIAS攻击者将蓝牙经典协议从“安全”身份验证方法降级为“传统”身份验证模式 ， 从而成功进行BIAS攻击 。 预计蓝牙设备供应商将在未来几个月内推出固件更新以解决该问题 ， 但是这些蓝牙设备更新的状态和可用性目前尚不清楚 ， 即使对于研究团队而言也是很难判断更新的效果 。

来源：(精彩趣投稿)

【】网址：/a/2020/0521/1590032766.html

标题：各大厂家蓝牙设备“纷纷沦陷”！新型BIAS漏洞攻陷各类设备