重磅級藍(lán)牙漏洞 BLUFFS：2014 年以來(lái)數(shù)十億台設備均受影(yǐng)響

11 月 30 日消息，網絡安全專家(jiā)近日報告，發現藍(lán)牙連接協議中存在 2 個(gè)全新的安全漏洞，使用藍(lán)牙 4.2 至 5.4 版本的所有(yǒu)設備均存在被攻擊者劫持的風險影(yǐng)響自 2014 年年底至今的所有(yǒu)藍(lán)牙設備。

 

Eurecom 安全專家(jiā)丹尼爾・安東尼奧利（Daniele Antonioli）解釋稱，利用這 2 個(gè)藍(lán)牙标準中的漏洞，目前已開(kāi)發了 6 種類型的全新攻擊方式，統稱為(wèi)“BLUFFS”，可(kě)以破壞藍(lán)牙會(huì)話(huà)的保密性，可(kě)以冒充設備或者執行(xíng)中間(jiān)人(rén)（MitM）攻擊。

本次曝光的兩個(gè)漏洞，主要和(hé)藍(lán)牙協議中會(huì)話(huà)密鑰的派生(shēng)方式有(yǒu)關，而這些(xiē)密鑰負責解密交換中的數(shù)據。

 

 

 

目前這兩個(gè)漏洞的安全追蹤編号為(wèi) CVE-2023-24023，影(yǐng)響采用 4.2 至 5.4 版本的藍(lán)牙設備。

 

 

 

 

目前藍(lán)牙成為(wèi)很(hěn)多(duō)設備的标準配置，預估全球範圍內(nèi)，包括筆記本電(diàn)腦(nǎo)、智能手機和(hé)其他移動設備在內(nèi)，會(huì)有(yǒu)數(shù)十億台設備受到影(yǐng)響。BLUFFS 影(yǐng)響 2014 年 12 月發布的藍(lán)牙 4.2 以及 2023 年 2 月發布的最新版本藍(lán)牙 5.4 之間(jiān)的所有(yǒu)版本。

 

Bluetooth SIG（Special Interest Group）是負責監督藍(lán)牙标準開(kāi)發并負責該技(jì)術(shù)許可(kě)的非營利組織，已收到 Eurecom 的報告，并在其網站(zhàn)上(shàng)發表了一份聲明(míng)。

該組織建議，拒絕使用低(dī)于七個(gè) octets 的低(dī)密鑰強度連接，使用“Security Mode 4 Level 4”，以确保更高(gāo)的加密強度級别，并在配對時(shí)以“僅安全連接”模式運行(xíng)。