科技動態:BLURtooth漏洞使攻擊者可以覆蓋藍牙加密

互聯網在提高人們社會活動質量的同時可能對部分互聯網使用者造成傷害。我們要正確認識網絡的兩面性，用其所長、避其所短，發揮網絡對生活的積極促進作用。把網絡作為生活的補充就可以享受網絡的諸多益處，接下來這篇文章給大家說說互聯網科技的正能量。

ZDNet的一份新報告揭示了一個名為BLURtooth的新藍牙漏洞已經出現。這使攻擊者可以削弱和覆蓋藍牙加密，從而訪問經過身份驗證的服務。

此漏洞使攻擊者可以在目標設備上進行不需要的身份驗證。此外，所有具有Bluetooth 4.0或Bluetooth 5.0技術的設備都暴露于此BLURtooth漏洞。

藍牙特別興趣小組(SIG)和卡內基梅隆大學(CERT / CC)的CERT協調中心分別進行了兩項研究，突顯了這一點。

此外，BLURtooth的主要用途是用于具有“雙模式”功能的藍牙設備。實際上，BLURtooth是藍牙標準中稱為跨傳輸密鑰派生(CTKD)的易受攻擊的組件。

就您的上下文而言，此CTKD是與兩個設備配對時用于設置身份驗證密鑰的組件。

攻擊者可以在支持藍牙經典和低能耗(LE)數據傳輸方法的設備上使用此漏洞。然后，BLURtooth將為兩個設備設置兩個唯一的身份驗證密鑰。

CTKD的主要用途是讓連接的藍牙設備選擇要使用的標準版本。例如，藍牙低功耗(BLE)或基本速率/增強數據速率(BR / EDR)標準。

BLURtooth可以更改CTKD組件以覆蓋藍牙身份驗證

根據研究，發現攻擊者可以操縱此CTKD組件。依次將覆蓋藍牙身份驗證。

顯然，是通過藍牙讓攻擊者進入連接的設備。嗯，有兩種方法可以發揮BLURtooth漏洞的作用。

首先，攻擊者可以使用它來完全覆蓋身份驗證密鑰。但是，這取決于藍牙的版本。另一種方法是可以使用BLURtooth削弱加密并獲得對連接設備的訪問權限。

好消息是，運行藍牙5.1的設備具有可以保護其免受這些BLURtooth攻擊的功能。ZDNet指出，藍牙SIG官員正在與供應商進行溝通。

并通知他們此新漏洞的潛在威脅。此外，他們還在研究如何預防此問題的選擇。

解決方案…那么，補丁程序準備就緒后應該很快就可以使用

由于這是一個最近才發現的問題，因此當前尚無補丁程序。但是，我們確信授權方對此事非常重視。

但是，尚不清楚何時可以向大眾提供補丁。一些OEM可能將其優先考慮，而另一些OEM可能不會優先考慮安全補丁。

無論是什么情況，我們都將密切注意這方面的任何進一步發展。