據(jù)外媒AppleInsider報道,一個研究團隊披露了一個新的漏洞���,可以讓攻擊者欺騙現(xiàn)代藍牙設備���,使其與偽裝成受信任的惡意設備配對���。這個安全漏洞被團隊稱為藍牙冒充攻擊(BIAS)��,影響了一系列使用藍牙的設備,包括iPhone��、iPad和Mac�。
從本質上說�,BIAS攻擊利用了藍牙設備如何處理長期連接的漏洞�。當兩臺藍牙設備配對后,它們在一個“鏈接密鑰 ”上達成一致�,這樣它們就可以在不經(jīng)過配對過程的情況下重新連接到對方��。瑞士洛桑聯(lián)邦理工學院的研究人員發(fā)現(xiàn),他們能夠在不知道這個鏈接密鑰的情況下��,欺騙之前配對過的設備的藍牙地址來完成認證過程��。結合其他藍牙漏洞,如藍牙密鑰協(xié)商(KNOB),攻擊者可以破壞在安全認證模式下運行的設備。一旦BIAS攻擊成功,被攻擊的設備就可以被用來進行其他的利用�����,包括訪問通過藍牙發(fā)送的數(shù)據(jù)���,甚至控制之前配對的設備所擁有的功能。由于藍牙連接通常不需要用戶進行明確的交互����,因此BIAS和KNOB攻擊也是隱蔽的,可以在用戶不知情的情況下進行����。 當然�,這個攻擊具有自身的局限���,這個缺陷只影響到藍牙基本速率/增強數(shù)據(jù)速率���,也就是經(jīng)典藍牙�。但這仍然使相對較新的蘋果設備受到攻擊,包括iPhone 8及以上版本���、2017年版 MacBook設備及以上版本、2018年的iPad機型及以上版本�。
為了實施攻擊,不良行為者需要在易受攻擊設備的藍牙范圍內(nèi)��,并知道之前配對設備的藍牙地址�。對于一個熟練的攻擊者來說,找到這些藍牙地址相對來說是件小事���,即使是隨機的����。信息通信技術所帶來的數(shù)字化洪流�,將人類社會推入以數(shù)據(jù)為生產(chǎn)資料的新時代。數(shù)據(jù)作為一種要素重要性日益凸顯��,這也使越來越多的攻擊手段層出不窮。數(shù)據(jù)風險是一項可預見的潛在風險���,如何規(guī)避數(shù)據(jù)風險�,除了加強自身對于數(shù)據(jù)的保護意識��,還應該加大科技的建設����,在數(shù)據(jù)的保護方面健全保護制度���,在巨大的隱私透露的無力之前,我們應該有所準備,未雨綢繆。
