蓝牙核心规范(Bluetooth Core)和蓝牙网状 *** 连接技术(Mesh Profile)规范近日被爆安全漏洞,可被 *** 犯罪分子利用进行中间人(man-in-the-middle)攻击。根据卡内基梅隆大学 CERT 协调中心的报告,“支持Bluetooth Core 和 Mesh 规范的设备存在漏洞,容易受到冒名攻击和AuthValue泄露,这可能使攻击者在配对期间冒充合法设备”。
这两个蓝牙规范确保了多对多蓝牙通信的协议,并使设备之间通过临时 *** 共享数据。蓝牙冒充攻击(Bluetooth Impersonation AttackS),也称为 BIAS,允许 *** 犯罪分子与受害者建立安全连接,并有效绕过蓝牙的认证机制。
根据安全研究人员的说法,与安全建立蓝牙认证程序、不良功能切换和安全连接降级有关的之一个问题是BIAS攻击。它们相当稳定,因为安全蓝牙连接不需要用户互动。为了证实 BIAS 攻击实际上是有效的,研究人员对苹果、高通、英特尔、赛普拉斯、博通、三星和CSR的所有主要蓝牙版本进行了测试,对主要技术供应商的 31 个蓝牙设备(28个特定蓝牙芯片)进行了测试。
在 Bluetooth Mesh Profile 规范 1.0 和 1.1 版本中发现了4 个漏洞。完整漏洞包括:
● CVE-2020-26555
蓝牙传统BR/EDR引脚配对协议中的冒充行为(从 v1.0B 到 5.2 版本的蓝牙核心规范)
● CVE-2020-26558
蓝牙LE和BR/EDR安全配对过程中的密码输入协议中的冒名顶替(从 2.1 到 5.2 版本的蓝牙核心规范)。
● N/A(未编号)
蓝牙LE传统配对协议的认证(从 4.0 到 5.2 版本的蓝牙核心规范)
● CVE-2020-26556
蓝牙Mesh配置文件配置中的可塑性承诺(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26557
蓝牙Mesh Profile供应中的可预测 AuthValue(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26559
蓝牙 Mesh Profile AuthValue 泄漏(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26560
蓝牙Mesh Profile配置中的冒名攻击(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
在列出的受这些安全缺陷影响的产品供应商中,有Android开源项目(AOSP)、思科、Cradlepoint、英特尔、微芯科技和红帽。AOSP、思科和微芯科技表示,他们正在努力缓解这些问题。
负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告,指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。Bluetooth SIG 表示,该组织机构正在就该漏洞及其修复方案与会员企业广泛沟通详情,并鼓励它们快速集成任意必要补丁。和之前一样,蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。
(消息及封面来源:cnBeta)
Hackernews 编译,转载请注明出处: Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT ...
SSLPing 是一款相当实用的工具,在注册并添加了你的服务器后,它就会帮助检查证书、协议、密码和已知漏洞。从 SSL v3 到 TLS 1.2,对于一些大型服务提供商来说,如果未能在证书到期前妥善处理,后续的影响还是相当难以规避的。然而近日,这款免费工具的创作者正在发出寻求帮助的讯号。 (来自:...
法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。” 法新社报道截图 去年7月,这...
伊朗国家石油产品分销公司(NIOPDC)的加油站26日停工,原因是网络攻击波及了整个分销网络。 NIOPDC网络在全国拥有3500多个加油站,80多年来一直供应石油产品。 调查机构正在查找造成破坏的原因,目前还没有公开说明幕后黑手的信息,但伊朗正在指责一个敌对国家。 并非全无线索,ISNA 通讯社首...
在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a...
随着勒索软件和世界各地其他网络攻击的增加,系统运营商更加担心复杂的 “虚假数据注入 “攻击,即黑客向其提供虚假的数据,欺骗电脑系统和人员,使其认为操作正常。然后,攻击者扰乱了工厂关键机器的功能,导致其运行不良或故障。当安全人员意识到他们被欺骗时,为时已晚,造成了灾难性的后果。 普渡大学的Hany A...