藍牙傳資安漏洞?駭客偽裝藍牙裝置讓iPhone、Android、Mac用戶全遭殃!

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

藍牙配對功能不僅可以在兩部手機、電腦之間傳送照片檔案,還能連接耳機聽音樂,然而近日卻有傳出藍牙無線通訊協定藏有安全漏洞,駭客偽裝成通過身份驗證的藍牙裝置與使用者的藍牙進行配對,進而存取使用者裝置的資料,受影響的裝置包括 Apple 蘋果 iPhone、iPad、MacBook 以及 Android 手機等。

圖片及資料來源:Redmondpie
圖片及資料來源:Redmondpie

發現藍牙資安漏洞的是瑞士洛桑聯邦理工學院(École Polytechnique Fédérale de Lausanne),據最新的研究報告指出,這次的藍牙協定漏洞名稱是「 Bluetooth Impersonation Attacks 偽裝藍牙攻擊」,簡稱 BIAS。它藏在藍牙 6 個核心配置的其中 2 個,包括 Basic Rate 基本傳輸速率 和 Enhanced Data Rate 增強資料速率。

藏著漏洞的 2 個藍牙協定核心配置主要用在低耗電的短距通訊上,漏洞允許駭客的裝置偽裝成先前曾經和使用者配過的藍牙裝置,進而繞過安全連接必須進行的密鑰認證程序。如此一來,使用者在無預警下與駭客偽裝的裝置配對,而駭客也就得以控制使用者裝置進而竊取資料。

根據研究報告內容,研究人員找來 iPhone 8、iPhone 7 Plus、 iPhone 6、iPhone 5S、iPad 2018、Macbook Pro 2017,以及 Android 系統的 Google Pixel 2、Pixel 3 等共 30 款主流消費電子產品進行測試,其中有 28 款電子產品藍牙功能都會受到 BIAS 偽裝藍牙攻擊。

報告進一步指出,受影響的藍牙晶片來自 Intel 英特爾、Qualcomm 高通、Samsung 三星、CSR(Cambridge Silicon Radio)…等多家公司,而且波及市場上的數十億藍牙裝置,影響範圍非常廣泛。

針對這項漏洞,SIG 藍牙技術聯盟公布暫時補救措施,建議藍牙晶片供應商應禁止降級至長度低於 7 Octet 的加密金鑰,並指出主機在執行認證時應啟用交互認證、最好是支援 Secure Connections Only 唯一安全連線模式。同時,SIG 也更新了藍牙核心規範,防止強制降級至經典藍牙協議的偽裝攻擊。

圖片及資料來源:Redmondpie

《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。

駭客 藍芽 資安 iPhone MacBook Android

延伸閱讀

iPhone上月在陸銷售大增160% 未來數月恐面臨挑戰

3種尺寸4款機型?5G版iPhone訂單沒下文 傳延到11月發表

Google與蘋果合作可勾勒新冠病毒感染途徑的API內容 開始提供使用

「手機滿意度」評比出爐 三星攻佔前三名iPhone11排第九

相關新聞

藍牙傳資安漏洞?駭客偽裝藍牙裝置讓iPhone、Android、Mac用戶全遭殃!

藍牙配對功能不僅可以在兩部手機、電腦之間傳送照片檔案,還能連接耳機聽音樂,然而近日卻有傳出藍牙無線通訊協定藏有安全漏洞,駭客偽裝成通過身份驗證的藍牙裝置與使用者的藍牙進行配對,進而存取使用者裝置的資料,受影響的裝置包括 Apple 蘋果 iPhone、iPad、MacBook 以及 Android 手機等。

趕在美國政府新禁令生效前 傳華為已向台積電緊急提出5nm製程訂單

相關消息指稱,趕在美國政府新一波禁令生效以前,華為已經緊急向台積電提出5nm製程代工訂單,預計由後者協助生產即將推出的Kirin 1020處理器。

電信聯盟要求美國政府提撥20億美元 以利更換華為設備

先前美國政府除了建議FCC撤除中國電信在美境內業務執照,同時也希望透過補助促使境內電信營運業者更換其使用的華為或中興提供網通設備。不過,不僅大型電信業者認為政府提撥補助難以支撐更換所有使用中國業者提供網通設備相關支出,在偏遠農村地區提供網通服務的小型電信營運業者更沒有足夠經費更換現有設備。

遠距辦公將成為新常態 Facebook等企業構思適合未來工作型態的工具

在新型冠狀病毒疫情影響之下,不少企業開始面臨必須將傳統進入辦公室為主的工作模式,暫時切換成可讓員工以遠距形式完成首上工作情況,而在此期間也讓不少企業開始構思日後工作模式如何安排。而Facebook也針對此類需求,開始構思適合未來工作型態的服務工具。

小米收購紫米旗下全資控股公司股權 加深雙方合作關係

多年以來協助小米製造多款行動電源產品的紫米,旗下全資控股的紫米國際有限公司將由小米以1.03億美元收購27.44%,其中2578萬美元將會以現金支付,其餘7706萬美元金額則會以小米發行5437萬9044股股權交易,同時將持有紫米國際有限公司約49.91%股權。

每秒傳輸達3920MB SD 8.0設計規範導入PCIe 4.0技術規格

隨著PCIe 4.0導入市場應用,SD協會在此次提出的SD 8.0設計規範中也加入PCIe 4.0技術規格,讓原本最高每秒可達986MB的數據傳輸效率提昇至每秒3920MB,足足提高四倍左右。

Google提出「I/O Braid」設計 讓線材也能對應手勢操作

除了先前與Levi's合作採用Project Jacquard技術,讓牛仔外套可在袖口等位置採用包含可識別點按、滑動等操作手勢的特殊布料,藉此對應操作透過無線配對連接的手機功能,Google研究室稍早更將類似設計概念應用在編織線材,讓使用者能透過觸控、揉捻等動作,直接在線材上操作各類手勢,並且讓連接裝置可反應操作功能。

熱門新聞

商品推薦

udn討論區

0 則留言
規範
  • 張貼文章或下標籤,不得有違法或侵害他人權益之言論,違者應自負法律責任。
  • 對於明知不實或過度情緒謾罵之言論,經網友檢舉或本網站發現,聯合新聞網有權逕予刪除文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。
  • 對於無意義、與本文無關、明知不實、謾罵之標籤,聯合新聞網有權逕予刪除標籤、停權或解除會員資格。不同意上述規範者,請勿下標籤。
  • 凡「暱稱」涉及謾罵、髒話穢言、侵害他人權利,聯合新聞網有權逕予刪除發言文章、停權或解除會員資格。不同意上述規範者,請勿張貼文章。