8月17日消息,负责无线通信技术的官方机构蓝牙技术联盟正式承认了一个严重的蓝牙安全漏洞,攻击者可通过该漏洞强行与被攻击者的设备配对,目前苹果、微软等公司都在着手修复。
蓝牙是一种无线技术标准,可实现固定设备、移动设备和楼宇个人域网之间的短距离数据交换,使用2.4—2.485GHz的ISM波段的UHF无线电波。蓝牙的工作原理是,一个设备发送请求,另一个设备接收到请求,两台设备必须都同意才能进行配对。通过交换公钥验证身份,为了确保安全,要设置加密密钥。
蓝牙技术联盟表示,蓝牙安全漏洞就是攻击者通过干扰加密设置对设备进行攻击,使加密密钥缩短至一个八位字节,这样做可以很容易的通过尝试所有可能的加密密钥来和设备建立连接。此外,并非所有的蓝牙规范都对加密密钥有最小长度的要求,还有的蓝牙产品目前可能根本不需要验证加密密钥。这样攻击者就很轻易地控制设备,然后对其监控和操作。
目前,苹果公司被要求更新他们的设备蓝牙设置,以确保加密密钥至少有七位字节,蓝牙规范也重新更改,添加了这一要求。对于不正当连接可用的时间很短,可以有效防止此类攻击。苹果表示,在最新的设备更新中,这一点已经实现。
本文编辑:周贤
