新的蓝牙漏洞可影响10亿台设备

admin 2021年12月4日15:21:51cnnvd_news评论9 次浏览阅读模式

       包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超过10亿台蓝牙设备,被发现易受一个被命名为CNNVD-201908-864、CVE-2019-9506的高度严重漏洞攻击,该漏洞可能允许攻击者监视两台设备之间传输的数据。该漏洞被称为蓝牙密钥协商(Key Negotiation of Bluetooth, KNOB)攻击,可以让距离目标设备较近的远程攻击者拦截、监视或操纵两个配对设备之间的加密蓝牙通信。

       研究人员发现,设备通过链路管理器协议(Link Manager Protocol,LMP)执行的熵协商既不加密也不经过身份验证,而且可以在空中被劫持或操纵。新发现的蓝牙漏洞可以让远程攻击者欺骗两个目标设备,让它们同意一个熵仅为1字节/八位字节的加密密钥,最终很容易强行使用协商好的加密密钥。一旦解密,攻击者可以顺势捕获通过蓝牙通信传输的加密消息,解密并注入有效的有效密文,所有这些都是实时的、隐秘的。

       研究人员在昨天发布的报告中表示,已评估了来自英特尔、博通、苹果和高通等不同供应商的14多个蓝牙芯片上的KNOB攻击。除了苹果W1芯片接受(至少)7字节的熵外,所有的芯片都接受1字节的熵。为了减少KNOB攻击,蓝牙规范的维护人员强烈建议设备制造商和软件供应商强制要求BR/EDR连接的最小加密密钥长度为7字节。为了修补这个漏洞,许多受影响的供应商已经开始发布他们的操作系统、固件和软件的安全更新。

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月4日15:21:51
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/04/966.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: