藍牙傳資安漏洞?駭客偽裝藍牙裝置讓iPhone、Android、Mac用戶全遭殃!

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

藍牙配對功能不僅可以在兩部手機、電腦之間傳送照片檔案,還能連接耳機聽音樂,然而近日卻有傳出藍牙無線通訊協定藏有安全漏洞,駭客偽裝成通過身份驗證的藍牙裝置與使用者的藍牙進行配對,進而存取使用者裝置的資料,受影響的裝置包括 Apple 蘋果 iPhone、iPad、MacBook 以及 Android 手機等。

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

發現藍牙資安漏洞的是瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne),據最新的研究報告指出,這次的藍牙協定漏洞名稱是「 Bluetooth Impersonation Attacks 偽裝藍牙攻擊」,簡稱 BIAS。它藏在藍牙 6 個核心配置的其中 2 個,包括 Basic Rate 基本傳輸速率 和 Enhanced Data Rate 增強資料速率。

藏著漏洞的 2 個藍牙協定核心配置主要用在低耗電的短距通訊上,漏洞允許駭客的裝置偽裝成先前曾經和使用者配過的藍牙裝置,進而繞過安全連接必須進行的密鑰認證程序。如此一來,使用者在無預警下與駭客偽裝的裝置配對,而駭客也就得以控制使用者裝置進而竊取資料。

根據研究報告內容,研究人員找來 iPhone 8、iPhone 7 Plus、 iPhone 6、iPhone 5S、iPad 2018、Macbook Pro 2017,以及 Android 系統的 Google Pixel 2、Pixel 3 等共 30 款主流消費電子產品進行測試,其中有 28 款電子產品藍牙功能都會受到 BIAS 偽裝藍牙攻擊。

報告進一步指出,受影響的藍牙晶片來自 Intel 英特爾、Qualcomm 高通、Samsung 三星、CSR(Cambridge Silicon Radio)…等多家公司,而且波及市場上的數十億藍牙裝置,影響範圍非常廣泛。

針對這項漏洞,SIG 藍牙技術聯盟公布暫時補救措施,建議藍牙晶片供應商應禁止降級至長度低於 7 Octet 的加密金鑰,並指出主機在執行認證時應啟用交互認證、最好是支援 Secure Connections Only 唯一安全連線模式。同時,SIG 也更新了藍牙核心規範,防止強制降級至經典藍牙協議的偽裝攻擊。

圖片及資料來源:Redmondpie

《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。

駭客 藍芽 資安 iPhone MacBook Android

延伸閱讀

iPhone上月在陸銷售大增160% 未來數月恐面臨挑戰

3種尺寸4款機型?5G版iPhone訂單沒下文 傳延到11月發表

Google與蘋果合作可勾勒新冠病毒感染途徑的API內容 開始提供使用

「手機滿意度」評比出爐 三星攻佔前三名iPhone11排第九

相關新聞

蘋果傳砍200萬支iPhone 12 mini 轉生產Pro

根據專門撰寫蘋果消息的PED30網站所看到的摩根士丹利投資分析報告,蘋果大砍200萬支iPhone 12 mini的生產...

法國空軍公布幻象兩千翻修照片 網友只注意到艙內採用Windows系統

法國空天軍(太空部隊與空軍)最近正在進行次世代戰機的規劃佈局。而依照之前法國軍方的規劃,在目前的這個過渡時期,會將現役的幻象兩千以及飆風戰機進行升級繼續服役,直到2030年法國的第六代戰機SCAF(FCAS)服役為止。

貼牌手機藏資安漏洞!台灣大哥大緊急召回 Amazing A32 手機

NCC 根據刑事警察局提供之情資顯示,台灣大哥大自有品牌「AMAZING A32」手機內建軟體藏有資安疑慮,要求台灣大哥大儘速善後補救。 對此,台灣大哥大緊急發布新聞稿回應,將與生產廠商力平國際公司合作,升級手機作業系統。

微軟:遭駭客查看部分原始碼 未影響客戶

微軟公司周四(31日)表示,疑似入侵眾多美國政府機構網路的俄羅斯駭

Pornhub斷尾求生:「紐約時報」事件後自刪了超過1000萬部影片

自 Visa、Mastercard 宣布停止支援刷卡付款後,《紐約時報》揭露 Pornhub 上未成年孩童非自願情色內容事件有了最新進展:Pornhub 一口氣下掉所有未經審查的影片,片量超過了 1000 萬部之譜。

Google、YouTube大當機!網哀號:世界末日了

YouTube於14日晚間出現「猴子修理工」的當機畫面,此外Google也發生當機情況,像是Google mail及雲端無法正常開啟,目前官方尚未回應,詳細原因有待進一步釐清。

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。