当前位置:首页 > 智能硬件 > 安全设备/系统
[导读] (文章来源:超级盾云防御) 虽然蓝牙技术和其他射频设备在我们的日常生活中很常见,尤其是在现代办公环境中,但很少有用户真正了解这项技术是如何工作的。此外,更少的人了解与蓝牙设备相关的安全风

(文章来源:超级盾云防御)

虽然蓝牙技术和其他射频设备在我们的日常生活中很常见,尤其是在现代办公环境中,但很少有用户真正了解这项技术是如何工作的。此外,更少的人了解与蓝牙设备相关的安全风险。我们喜欢将设备与无线打印机、扬声器和耳机连接在一起所带来的便利,那么对办公室安全的担忧是否被过分夸大了呢?

安全行业一旦发现漏洞,就会迅速采取行动来消除漏洞,但这并不意味着在发现漏洞后,所有设备都不会受到威胁。该漏洞于2017年底在集体雷达上登记,但许多设备从未收到必要的补丁和更新,以消除九个可能的威胁向量。研究表明,由于忽略了更新或者从一开始就没有收到补丁,20亿台设备仍然容易受到BlueBorne的攻击。

BlueBorne的工作方式与蓝牙设备面临的其他威胁不同,比如蓝牙窃听或蓝牙劫持。这种攻击针对蓝牙堆栈的不同部分。BlueBorne会试图伪装成一个希望连接的设备,但在连接尝试需要用户执行操作之前,漏洞就会被执行。BlueBorne如此有效的部分原因是,攻击并不依赖于设备的互联网连接,而这在当时是网络安全研究领域的一个很少探索的领域。

攻击者将操作发现查询的时间戳和大小,并将第二个发现查询作为单独的服务发送到原始目标。这有效地激活了设备的故障安全连接,并允许自由访问。BlueBorne在ios 10之前的Android、windows和Linux平台上的设备都受到了影响。虽然已经从BlueBorne事件中吸取了重要的教训,但是许多设备仍然容易受到新出现的攻击载体的攻击。

2019年8月,在蓝牙技术中发现了另一个值得注意的安全漏洞。使用规范版本1.0到5.1的蓝牙BR/EDR设备容易受到蓝牙(KNOB)密钥协商攻击。这个bug有效地允许攻击者破解设备在配对过程中使用的加密密钥。IT安全、隐私和责任中心(CISPA)披露的信息显示,在某些情况下,攻击者能够将加密密钥减少到一个八位元。

理论上,如果两个设备的密钥被攻击暴露,坏人就可以操纵设备之间交换的数据。这将使用户接触到第三方,第三方能够注入命令并监视受损设备。伊卡西提到,他们还没有看到这种攻击载体被恶意部署。蓝牙官方声明:“一个攻击要成功,一个攻击设备需要在两个脆弱的蓝牙设备的无线范围内,这两个蓝牙设备正在建立一个BR/EDR连接。如果其中一个设备没有漏洞,那么攻击就不会成功。

根据运输数据,全世界大约有82亿台使用蓝牙的设备。知道这些设备中有很大一部分没有使用当前版本的固件,或者当发现新漏洞时不会更新,这对罪犯来说是一个非常诱人的机会。坏行为者知道很多有价值的数据可以通过蓝牙设备获得,并且由于安全协议相对薄弱,进入的壁垒可能比传统的黑客方法要低。对于为某些行业的客户提供咨询的IT经理和安全专家来说,这是一个关键问题。

对任何小企业来说,数据泄露的后果都可能是灾难性的,但金融和医疗等受到严格监管的行业面临着更高的监管处罚,而且一旦数据泄露,它们的声誉会受到更大的损害。当然,我们不能指望这些行业的现代办公环境会退回到点阵式打印机的时代并拿着30英尺和弦的电话工作。

对于安全社区来说,在保护支持蓝牙的设备方面保持领先需要在研究威胁方面投入更多的资金。从商业角度看,投资与全面了解威胁(包括可穿戴、无线设备威胁)的供应商和顾问的合作关系,是朝着更强有力的网络安全战略迈出的有意义的一步。
       

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭