据11月30日消息,网络安全专家近日报告称,他们发现蓝牙连接协议中存在两个新的安全漏洞。所有使用蓝牙4.2至5.4版本的设备都面临着被攻击者劫持的风险,影响了2014年底至今的用户数量。所有蓝牙设备。
Eurecom安全专家Daniele Antonioli解释说,已经开发出六种新的攻击方法来利用这两个蓝牙标准中的漏洞,统称为“BLUFFS”,它们可以破坏蓝牙会话的机密性。可以冒充设备或执行中间人(MitM) 攻击。
此次暴露的两个漏洞主要与蓝牙协议中会话密钥的导出方式有关,这些密钥负责解密交换中的数据。
这两个漏洞目前被追踪为CVE-2023-24023,影响使用版本4.2 至5.4 的蓝牙设备。
蓝牙现已成为许多设备的标准功能,预计全球数十亿设备,包括笔记本电脑、智能手机和其他移动设备将受到影响。
注意:BLUFFS 影响2014 年12 月发布的蓝牙4.2 和2023 年2 月发布的最新版本蓝牙5.4 之间的所有版本。
负责监督蓝牙标准开发并负责技术许可的非营利组织蓝牙SIG(特别兴趣小组)已收到Eurecom的报告,并在其网站上发布了声明。
该组织建议拒绝密钥强度低于七个八位位组的连接,使用“安全模式4 级别4”来确保更高的加密强度级别,并在配对时以“仅安全连接”模式运行。
