广告位

您现在的位置是:主页 > 澳门赌平台手机 >

解决了蓝牙设备中的规范漏洞

2020-05-05 06:48澳门赌平台手机 人已围观

简介蓝牙规范中的一个漏洞的发现可能使攻击能够监视你的信息本周发布新闻; The Verge表示,攻击者可能能够削弱蓝牙设备的加密能力并窥探通信或发送伪造的设备以接管设备。 调查人员说...

  蓝牙规范中的一个漏洞的发现可能使攻击能够监视你的信息本周发布新闻; The Verge表示,攻击者可能能够削弱蓝牙设备的加密能力并窥探通信或发送伪造的设备以接管设备。

  调查人员说,这种攻击潜力基本上与所有“说蓝牙”的设备有关。他们说,任何符合标准的蓝牙设备都可能会受到攻击。

  “我们对超过17种独特的蓝牙芯片进行了KNOB攻击(通过攻击24种不同的设备)。在撰写本文时,我们能够测试来自Broadcom,Qualcomm,Apple,Intel和Chicony制造商的芯片。我们测试的所有设备他们很容易受到KNOB攻击。“

  2018年11月,他们与蓝牙特别兴趣小组,CERT协调中心和互联网上的网络安全促进国际联盟(ICASI)分享了这次攻击的细节,ICASI是一个行业领导的协调机构。

  KNOB代表蓝牙密钥协商(KNOB)攻击。在看到如何描述攻击时,该名称的原因变得清晰。

  “蓝牙规范包括加密密钥协商协议,允许在不保护协商过程完整性的情况下协商加密密钥和1字节的熵。远程攻击者可以操纵熵协商,让任何符合标准的蓝牙设备协商加密密钥1个字节的熵,然后实时强制低熵密钥。“

  更详细的概述来自卡内基梅隆大学软件工程研究所,CERT协调中心,由国土安全和网络安全和通信办公室主办:

  “蓝牙BR / EDR Core v5.1及更早版本中的加密密钥长度协商过程容易受到未经身份验证的相邻攻击者的数据包注入攻击,这可能导致信息泄露和/或权限升级。这可以通过引用的攻击来实现作为蓝牙的关键协商(KNOB)攻击,当第三方迫使两个或更多的受害者同意加密密钥时只需要一个字节的熵。一旦熵减少,攻击者就可以蛮力加密密钥并用它来解密通信。“

  (Jacge Kastrenakes,The Verge,周五评论道:“这个漏洞非常聪明:它不是直接破解加密,而是让黑客一开始就强迫一对蓝牙设备使用较弱的加密,这使得它更容易破解。 “)

  数字障碍首席执行官Zak Doffman在福布斯报道称,“要解决这个问题,蓝牙核心规范已经改变”,建议BR / EDR连接的最小加密密钥长度为7个八位字节。

  “为了弥补这一漏洞,蓝牙SIG [蓝牙特别兴趣小组是负责监督蓝牙标准发展的标准组织。]已更新蓝牙核心规范,建议BR / EDR连接的最小加密密钥长度为7个八位字节。 Bluetooth SIG还将在我们的蓝牙资格认证计划中对此新建议进行测试。此外,Bluetooth SIG强烈建议产品开发人员更新现有解决方案,以便为BR / EDR 连接强制实施7个八位字节的最小加密密钥长度。

  “为了使攻击成功,攻击设备需要在两个建立BR / EDR连接的易受攻击的蓝牙设备的无线范围内。如果其中一个设备没有漏洞,则攻击不会成功攻击设备需要拦截,操纵和重新传输两个设备之间的密钥长度协商消息,同时还阻止来自两者的传输,所有这些都在一个狭窄的时间窗口内。如果攻击设备成功缩短了使用的加密密钥长度,它然后,需要执行强力攻击来破解加密密钥。此外,每次启用加密时攻击设备都需要重复攻击,因为每次加密密钥大小协商都会发生。

  在撰写本文时,来自各个站点的报告试图提供有关该漏洞的更新,以及哪些供应商通过仍在行动中的行动或行动来解决它。

  与此同时,研究人员在USENIX安全研讨会上介绍了他们的发现。(USENIX始于1975年,是最初的UNIX用户组,后来发展成为高级计算机系统协会。)

  该团队详细介绍了他们的研究报告的题目是“KNOB破碎:在蓝牙BR / EDR的加密密钥协商中利用低熵”,并包含在第28届USENIX安全研讨会的会议记录中。

  史蒂文梅伦德斯周五在Fast Company表示,没有证据表明该攻击事实上已被使用。

  TechSpot的阿德里安 Potoroaca解决在一份简短的综述情况的状态。“虽然目前所有的蓝牙BR / EDR设备都很容易受到影响,但微软和苹果已经推出了一个简单的解决方案。蓝牙核心规范也已经改变,要求制造商硬编码七个八位字节的最小加密密钥长度(在未来的设备中。)

  同样,Fast Company也有其报告,称蓝牙标准背后的行业组织更新了规范以禁止过短的加密密钥,而包括微软和苹果在内的公司推出了操作系统补丁以修复其更新轮次中的漏洞。

  郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

  DeepMind详细介绍了OpenSpiel这是用于视频游戏的AI培训工具的集合

  Google将Android专用键盘应用程序重命名为Gboard添加了新功能

Tags: EDR设备 

广告位
    广告位
    广告位

标签云

站点信息

  • 文章统计98篇文章
  • 标签管理标签云
  • 微信公众号:扫描二维码,关注我们