藍牙傳資安漏洞?駭客偽裝藍牙裝置讓iPhone、Android、Mac用戶全遭殃!

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

藍牙配對功能不僅可以在兩部手機、電腦之間傳送照片檔案,還能連接耳機聽音樂,然而近日卻有傳出藍牙無線通訊協定藏有安全漏洞,駭客偽裝成通過身份驗證的藍牙裝置與使用者的藍牙進行配對,進而存取使用者裝置的資料,受影響的裝置包括 Apple 蘋果 iPhone、iPad、MacBook 以及 Android 手機等。

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

發現藍牙資安漏洞的是瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne),據最新的研究報告指出,這次的藍牙協定漏洞名稱是「 Bluetooth Impersonation Attacks 偽裝藍牙攻擊」,簡稱 BIAS。它藏在藍牙 6 個核心配置的其中 2 個,包括 Basic Rate 基本傳輸速率 和 Enhanced Data Rate 增強資料速率。

藏著漏洞的 2 個藍牙協定核心配置主要用在低耗電的短距通訊上,漏洞允許駭客的裝置偽裝成先前曾經和使用者配過的藍牙裝置,進而繞過安全連接必須進行的密鑰認證程序。如此一來,使用者在無預警下與駭客偽裝的裝置配對,而駭客也就得以控制使用者裝置進而竊取資料。

根據研究報告內容,研究人員找來 iPhone 8、iPhone 7 Plus、 iPhone 6、iPhone 5S、iPad 2018、Macbook Pro 2017,以及 Android 系統的 Google Pixel 2、Pixel 3 等共 30 款主流消費電子產品進行測試,其中有 28 款電子產品藍牙功能都會受到 BIAS 偽裝藍牙攻擊。

報告進一步指出,受影響的藍牙晶片來自 Intel 英特爾、Qualcomm 高通、Samsung 三星、CSR(Cambridge Silicon Radio)…等多家公司,而且波及市場上的數十億藍牙裝置,影響範圍非常廣泛。

針對這項漏洞,SIG 藍牙技術聯盟公布暫時補救措施,建議藍牙晶片供應商應禁止降級至長度低於 7 Octet 的加密金鑰,並指出主機在執行認證時應啟用交互認證、最好是支援 Secure Connections Only 唯一安全連線模式。同時,SIG 也更新了藍牙核心規範,防止強制降級至經典藍牙協議的偽裝攻擊。

圖片及資料來源:Redmondpie

《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。

駭客 藍芽 資安 iPhone MacBook Android

延伸閱讀

iPhone上月在陸銷售大增160% 未來數月恐面臨挑戰

3種尺寸4款機型?5G版iPhone訂單沒下文 傳延到11月發表

Google與蘋果合作可勾勒新冠病毒感染途徑的API內容 開始提供使用

「手機滿意度」評比出爐 三星攻佔前三名iPhone11排第九

相關新聞

整理包/新冠疫情發威…科技業佈局大亂 下一步怎麼走?

新冠肺炎疫情爆發突然,令全球產業措手不及,紛紛停工停運防止疫情擴大,然而疫情並未隨之停止,反而逐步擴及全球,各國只好極力降低人口流動減緩傳染速度,甚至出現長達數月的「鎖國期」,商業活動徹底停擺,對全球經濟造成重大打擊。

紐約時報不再與蘋果合作新聞提供 原因希望有更高內容自主權

紐約時報證實,未來將不再與蘋果合作新聞內容,原因是希望維持自有新聞報導,以及與讀者互動方式,同時也能符合本身業務運作需求。

黃牛炒價「PS4手把悠遊卡」售1萬 網傻眼:可買3隻真手把

悠遊卡公司近年與不少公司合作出卡,像是寶可夢精靈球、乖乖包裝悠遊卡都掀起一陣風潮。台灣索尼互動娛樂公司近期與悠遊卡公司合作,推出PS4手把悠遊卡,3日開賣短短幾分鐘就被搶購一空,如今網上竟出現黃牛炒價,售價1萬元,比原價飆升25倍多,令不少網友看傻眼,直呼該售價都可買3隻真的PS4無線手把。

專家發現「Sign In with Apple」有漏洞 蘋果證實已在修復

蘋果公司在2019年發表了新的「Sign In with Apple」功能,讓蘋果的使用者可以繞過臉書及Google,直接使用Apple ID登入某些網站。這樣的功能是為保障用戶的個資,然近日卻有專家發現,這個功能藏有巨大的資安漏洞,可以讓駭客發動攻擊。

蘋果官方商店正式登上LINE購物 今24小時限時10%回饋無上限

LINE 購物正式改版成為獨立 App,稍早 Apple 官方網站登上LINE 購物,祭出 24小時限時 10% 回饋無上限,只要透過 LINE 購物 App 首頁進入Apple 官網選購商品,就能獲得 10% LINE Points 回饋無上限,少有優惠的蘋果官方通路,現在等同是有了九折優惠。

3年2000億打造數位化基礎建設 阿里雲助企業度後疫情難關

阿里雲在合作夥伴峰會上,宣布本財政年度將投資20億人民幣 (近新台幣84億元),賦能全球夥伴後疫情階段加快創新步伐。阿里雲並將協助合作夥伴提升數位化能力,與他們攜手推出新產品和解決方案,惠及各行各業的客戶。

在疫情之下、楓林網被破之後…各大影音平台過得如何?

2020 年開春,全世界就迎接著武漢肺炎這隻黑天鵝,全球不少產業深受其害;但其中似乎有一個產業逆勢而起,那就是線上影音串流 OTT。在台灣,緊接著盜版站楓林網遭破獲、台劇則從不久前《我們與惡的距離》、《罪夢者》到今年《誰是被害者》、《做工的人》再掀高峰,到了 7 月又要面對 OTT 專法草案,已激起熱切關注與討論,這半年多的時間對影視文化核心角色之一:影音串流平台來說可稱得上是高潮迭起。

FCC正式認定華為、中興造成國安威脅 將限制電信業者採用其設備

美國聯邦通訊委員會 (FCC)正式將華為與中興列為對美國具國家安全威脅的廠商,意味接下來美國境內電信業者將被禁止使用這兩家企業提供網通設備,自然也無法透過聯邦政府提供補助資金採購這兩家企業所提供產品。

偷看用戶剪貼簿!iOS 14新安全通知揭TikTok、Facebook侵害隱私疑慮

iOS 14 加強了隱私通知及各項安全把關功能,意外讓人發現抖音會在未經過使用者同意的情境下存取剪貼簿,並且在後續開發者回報中發現包括 Facebook 等知名 app 也有相同狀況。目前 iOS 14 只供開發者下載測試。

暗示Arm架構Mac系列產品將至?蘋果重新註冊「Rosetta」名稱專利

不少看法認為蘋果準備在此次WWDC 2020活動公佈採用Arm架構的MacBook消息,而蘋果更在今年4月30日於日本地區申請名為「Apple Rosetta」名稱專利,更顯示蘋果確實在處理器架構改變上有所準備。

零成本、觀影數兩人!YouTuber拍的《Unsubscribe》勇奪全美票房冠軍

上週美國電影票房冠軍是誰拍的?史蒂芬·史蒂柏還是詹姆斯·卡梅隆?都不是,他叫 Eric Tabach,是個演員兼 YouTuber,他跟紐約電影製片人 Christian Nilsson 一起拍了一部叫《Unsubscribe》的恐怖片.....然後零成本,全程用 Zoom 拍攝,一口氣用 25,488 美元奪下全美票房冠軍!

今年的蘋果WWDC有什麼值得我們期待?可能發表的內容總整理

WWDC 舉辦在即(台灣時間 6 月 23 日半夜 1 點),今年因應疫情影響,改用線上發布的形式。除了一定會公布的 iOS、iPadOS、macOS、tvOS 和 watchOS 發展趨勢外,也常常會給果粉們一些出其不意的驚喜!我們把可能會在 WWDC 登場的更新和新品一併整理給大家囉

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。