社区编辑申请
注册/登录
低功耗蓝牙漏洞可用于解锁许多设备?
安全 漏洞
许多产品实施基于蓝牙低功耗的接近身份验证,当确定可信BLE设备在附近时,产品会解锁或保持解锁状态,针对BLE接近身份验证的中继攻击的可能性已经多年来一直为人所知,但现有工具具有可检测的延迟水平,并且无法使用链路层加密中继连接。

NCC集团研究人员发现的蓝牙低功耗漏洞可能被攻击者用来解锁特斯拉或其他具有汽车无钥匙进入的汽车、住宅智能锁、楼宇门禁系统、手机、笔记本电脑等许多其他设备。

关于BLE漏洞

低功耗蓝牙是由蓝牙特别兴趣小组开发的数据共享协议,广泛用于关键应用中的近距离身份验证。

研究人员指出,发现的漏洞并不是可以通过简单的软件补丁修复的传统错误,也不是蓝牙规范中的错误。相反,它源于将BLE用于最初设计目的之外的用途。

许多产品实施基于蓝牙低功耗的接近身份验证,当确定可信BLE设备在附近时,产品会解锁或保持解锁状态,针对BLE接近身份验证的中继攻击的可能性已经多年来一直为人所知,但现有工具具有可检测的延迟水平,并且无法使用链路层加密中继连接。

不过,研究人员创建了一个新的BLE链路层中继工具,该工具可以最大限度地减少往返延迟,使其处于正常响应时间变化的范围内,并且可以发现连接参数的加密变化并继续中继连接。

受影响的车辆和设备

使工具强大的原因不仅在于我们可以让蓝牙设备相信我们就在它附近,即使是在数百英里之外,且供应商采取了加密和延迟限制等防御性缓解措施,我们也可以做到理论上保护通信免受远距离攻击者的攻击。NCC集团首席安全顾问兼研究员Sultan Qasim Khan说:“只需10秒,这些漏洞可以无休止地重复。”

他们已经成功地测试了该工具并针对特斯拉Model3以及Kwikset和WeiserKevo智能锁进行了攻击。

Khan告诉彭博新闻,他们能够对其他汽车制造商和科技公司的设备进行攻击,而且攻击所需的硬件,例如继电器可以在网上以便宜的价格找到。尽管如此,攻击者还需要掌握研究人员开发的软件,或开发自己的软件才能发动攻击。

攻击者可以攻击的其他设备包括启用了蓝牙接近解锁功能的笔记本电脑、手机、其他智能锁和楼宇访问控制系统,以及用于资产和医疗患者跟踪的设备。

此安全问题仅影响依赖于蓝牙设备被动检测的系统,并且在解锁依赖于通信协议组合的情况下无法利用。

如何防止被攻击

如上所述,此BLE漏洞无法通过更新固件来修复,但可以采取一些措施来防范这些攻击。

制造商可以通过在用户的手机或遥控钥匙静止一段时间,基于加速度计时禁用感应键功能来降低风险。系统制造商应该让客户选择提供第二个身份验证或用户存在证明,例如,点击手机应用程序中的解锁按钮。

即使是担心受影响产品的用户也可以采取措施保护他们的资产,可以禁用不需要用户明确批准的被动解锁功能,或者在不需要时禁用移动设备上的蓝牙。


责任编辑:华轩 来源: 千家网
相关推荐

2022-06-05 21:09:47

Python办公自动化

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-20 14:57:50

漏洞安全威胁

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-28 12:35:21

DockerPython

2022-06-09 18:04:46

网络攻击网络安全

2022-06-17 11:24:52

2022-06-13 14:18:39

电源管理子系统耗电量服务

2022-06-28 12:14:02

DockerLinux

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-30 10:56:18

字节云数据库存储

2022-06-07 10:40:05

蓝牙鸿蒙

2022-06-15 14:40:54

英特尔漏洞

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-06 14:32:36

2022-06-06 11:21:22

网络安全工具禁令

2022-06-27 07:32:00

2022-06-24 14:07:06

机器人供应链人工智能

2022-05-26 11:01:24

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号