行動裝置 藍牙被曝存在嚴重漏洞, 不用配對就能駭入

soothepain

full loading
已加入
9/17/03
訊息
20,658
互動分數
1,912
點數
113
網站
www.coolaler.com
近日國外安全研究公司 Armis 曝光了一項針對藍牙漏洞進行攻擊的手法,只要設備擁有用藍牙功能就存在被駭客入侵的風險,而且入侵過程是無需配對,只要設備開啟了藍牙功能就會被遠程控制並加以利用,受影響的設備系統包括Windows、Linux、Android、ios,初步估計受影響的設備數目高達82億台。

blueborne.png


Bluetooth藍牙功能原本就是為了解決短距離無線傳輸數據而誕生的,發展至今已經誕生到藍牙5.0技術,普遍適用於手機、智能手錶、汽車、電腦、平板電腦、物聯網設備。據最新的報告顯示,支援藍牙功能的 Android、iOS、Windows 設備數目就高達50億,算上一些IoT物聯網設備的話,總數高達82億。

Armis 公司實驗室研究員在檢查藍牙無線協議過程中,至今為止發現了8個0Day漏洞,所謂的0Day漏洞就是目前沒有任何可以防範措施、安全補丁的嚴重漏洞。Armis公司將這個藍牙漏洞命名為“BlueBorne”,一旦被駭客利用這種漏洞,可以對任何藍牙設備發起隱形攻擊,入侵過程完全不可見,不需要藍牙配對,只要打開了藍牙就有被入侵風險。同時由於藍牙功能在部分系統中存在較高的權限,可以被駭客作為突破口控制整台設備。更可怕的是 BlueBorne 還具有傳染性,如果黑客將入侵程序寫入到IoT設備上,將會感染一大批設備。

Armis 表示,在過去藍牙初期發現的漏洞以及安全缺陷都是基於協議的,並且在2007年的藍牙2.1標準上被解決,之後的漏洞等級較低,並不能進行遠程代碼執行。而 BlueBorne 是近些年來藍牙協議中最為嚴重的漏洞,危害到數十億設備安全,而且 Armis 公司擔心在不同操作系統上,不同版本協議可能還有更多漏洞存在。

目前 Google 將會在 Android 九月份的安全更新中加入修復補丁;Windows 已經在7月份的安全更新中包含了漏洞修復補丁;而 iOS 用戶只要升級到 iOS 10 系統就能封堵大部分漏洞問題。


BlueBorne入侵示範影片






來源:http://www.expreview.com/56957.html
 
▌延伸閱讀