安全专家日前公布蓝牙配对协议未严格校验公钥的漏洞
日前以色列理工学院的安全专家发布报告披露蓝牙的新漏洞,该漏洞早已被修复因此用户无需担心安全问题。
安全专家在年初时发现漏洞后立即提交给计算机安全应急响应中心,然后再披露给相关厂商对漏洞进行修复。
目前终端制造商例如苹果公司以及硬件模块制造商博通与高通和英特尔等都已对蓝牙芯片驱动程序进行升级。
未严格校验椭圆曲线算法带来的问题:
正常情况下蓝牙设备进行配对时会使用强加密算法生成公钥然后用于设备之间传输信息时进行加密防止窃取。
但是在某些使用场景里椭圆曲线算法并没有经过严格验证,因此攻击者可以伪造无效公钥来连接用户的设备。
攻击成功的情况下攻击者可以让用户设备被动接收信息,也可以注入伪造或者恶意的信息诱导用户进行钓鱼。
负责此技术开发的蓝牙联盟称验证公钥只是对制造商的建议,因此很多制造商可能压根没有对公钥进行验证。
厂商修复且攻击难度也较大:
黑客如果想要利用该漏洞的话则自己和对方的设备都必须存在此漏洞,只有一方存在校验漏洞的话无法利用。
然后还要在距离受害者30 米的范围内才能发动攻击,当然很多蓝牙设备连接距离可能完全没有30 米这么大。
安全专家在验证后确认诸如 iPhone 和数量庞大的安卓设备均受影响,因此用户需及时升级的自己系统版本。
蓝牙联盟发布新版协议:
由于蓝牙联盟此前只是建议制造商进行公钥验证而非强制,导致很多制造商根本没有考虑过潜在的安全问题。
本次安全事件后蓝牙联盟已经发布新版配对协议,要求设备之间必须严格校验公钥后才可正常进行配对连接。
后续制造商生产设备时都需要按照新版协议来加强安全性,好在这次安全事件目前没有引发较大的安全问题。