以色列理工大學發現藍牙配對安全漏洞,入侵者在兩個裝置進行藍牙配對時,有機會可以界入通訊,進行竊聽或改篡有關內容。新發現的藍牙安全漏洞名為 CVE-2018-5383 ,許多主要裝置的供應商 (例如 : Apple, Broadcom, Intel, 和 Qualcomm) 的用戶都會受影響。
以色列理工大學指當藍牙連接不同裝置,例如手機和電腦時,兩個裝置會交換加密密鑰 (encryption keys),但原來藍牙的連接設計不需要兩個裝置都認證密鑰。如果兩個裝置都不進行密鑰認證,在無線覆蓋範圍內的攻擊者在連接時可以界入通訊,雙方通話以及傳輸的內容都有可能被第三者截聽或篡改。好消息是,如果其中一個裝置在交換加密密鑰時完成認證,第三方便無法界入。
許多生產商都已修補這個漏洞。蘋果因應問題,推出了 macOS High Sierra 10.13.5, iOS 11.4, watchOS 4.3.1 和 tvOS 11.4 四個更新了的系統。Intel 為 Windows 7 , 8.1 和 10 三個版本提供了更新版的藍牙驅動程式。但修復需要由裝置生產商提供,如果你的藍牙沒有開啟自動更新的話,最好向生產商查詢。
藍牙技術發展機構 Bluetooth SIG 指目前為止並無發現因為這安全漏洞而發生的事件。但藍牙檔案傳輸在近年愈來愈流行,例如 Apple’s Handoff 用 Wi-Fi 傳送檔案的時候,也會用藍牙進行連接。又或用戶可能在藍牙鍵盤上輸入敏感的資訊。雖然要盜取數據,入侵者需要在一定的網絡覆蓋範圍內。但很多藍牙裝置都要求重新連接,因此數據被盜的機會率也因此增加。
資料來源 : cnet