驚!藍牙有資安漏洞 數十億元3C產品恐遭波及

新頭殼newtalk | 郜敏 綜合報導
1970-01-01T00:00:00Z
瑞士研究團隊發現,藍牙含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序竊取用戶裝置內的資料。圖為駭客示意圖。   圖:新頭殼資料照
瑞士研究團隊發現,藍牙含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序竊取用戶裝置內的資料。圖為駭客示意圖。   圖:新頭殼資料照

瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne)研究團隊最近發表一份研究報告,指藍牙無線通訊協定含有安全漏洞,讓駭客可以偽裝成之前曾與用戶的3C產品配對過的裝置,進而繞過認證程序,藉機存取用戶裝置內的資料。專家指出,這種「藍牙偽裝攻擊」(Bluetooth Impersonation Attack,BIAS)適用所有版本的藍牙,恐波及市場上高達數十億含有藍牙的裝置(包括手機、iPad和筆電等)。

研究人員舉例,當兩支手機透過藍牙第一次配對時,必須先透過一個長期金鑰進行連線,之後就可以直接用這個金鑰配對,不必重複認證。不過,由於藍牙6種核心規格中的基本傳輸速率(Basic Rate,BR)與增強資料速率(Enhanced Data Rate,EDR)有安全漏洞,因此駭客可以偽裝成先前曾與該手機配對過的裝置,藉此繞過認證程序,即為藍牙偽裝攻擊。

研究團隊已經通知藍牙技術聯盟(SIG),聯盟也對藍牙晶片供應商提出一些建議,包括禁止降低加密金鑰的難度、3C裝置在進行傳統認證時應啟動交互認證機制等。聯盟也更新了藍牙核心規範,提高駭客攻擊裝置的難度。

研究人員舉例,當兩支手機透過藍牙第一次配對時,必須先透過一個長期金鑰進行連線,之後就可以直接用這個金鑰配對,不必重複認證。

聯盟也更新了藍牙核心規範,提高駭客攻擊裝置的難度。

研究團隊已經通知藍牙技術聯盟(SIG),聯盟也對藍牙晶片供應商提出一些建議,包括禁止降低加密金鑰的難度、3C裝置在進行傳統認證時應啟動交互認證機制等。

瑞士洛桑聯邦理工學院研究團隊發表一份關於藍牙的資安研究報告。   圖:截取自網路
瑞士洛桑聯邦理工學院研究團隊發表一份關於藍牙的資安研究報告。   圖:截取自網路
網友留言
留言如有不雅或攻擊性文字、重複灌水、廣告、外站連結等內容,本網站將保有刪除留言之權利
留言
追蹤
網頁已閒置超過 90 秒囉!
請按任意鍵,或點擊空白處,即可回到文章。