蓝牙BR/EDR安全漏洞
研究人员发现了一个安全漏洞, 称为蓝牙密钥协商(KNOB), 经典设备(使用BR/EDR连接的设备). 只有蓝牙低功耗(BLE)的设备不受此漏洞影响.
Exploiting this vulnerability, 攻击者可以将协商的加密密钥长度减少到一个字节, 允许暴力破解数据并将数据注入到蓝牙连接中. To leverage this vulnerability, 攻击者必须在两个设备的RF范围内, 有射频能力来阻止和操纵蓝牙帧,然后进行攻击吗.
- 蓝牙或“旋钮”的密钥协商 仅适用于蓝牙经典和双模式设备 (仅ble芯片组和模块不受影响)
- 旋钮与蓝牙SIG规范中缺乏最低加密密钥要求有关
- 蓝牙SIG将这一要求更改为7个字节的最小值
- 如果一个设备被更新为强制七字节的最小密钥长度, 该连接受到保护,因为密钥太长,无法进行暴力破解攻击
- 嵌入式行业面临的挑战是有很多最终产品, 包括我们的客户开发的, 没有能力执行固件更新
- 因为大多数的联系都涉及电话, 平板电脑, 或个人电脑, 微软已经提供了补丁®,苹果®, Android™, Cisco® and Blackberry® 很快就会有其他个人电脑或手机供应商提供
- 我们目前正在调查对现有产品的影响,以及对我们产品可能的软件修复
