重磅級藍牙漏洞 BLUFFS：2014 通路年以來數十億台設備均受影響

11 月 30 日消息，網絡安全專家(j的費iā)近日報告，發現藍牙連接協議中存在 2 個全新的安全漏洞，使用藍牙 4.2 至 5.4 版本的所有設備均存在被攻擊者劫持的風險車秒影響自 2014 年年底至今的所有藍牙設備。

 

Eurecom 安全專家(jiā)丹尼爾・安東尼奧利（Daniele Antonioli）解釋稱，利人但用這 2 個藍牙标準中的漏洞，目前已開(kāi)發了 6 種類型的全新攻擊方少暗式，統稱為(wèi)“BLUFFS”，可以破壞藍牙會(h器討uì)話的保密性，可以冒充設備或者執行中間人（M暗視itM）攻擊。

本次曝光的兩個漏洞，主要和藍牙協議中會(huì)話密鑰的派生方式有關，而這些做著密鑰負責解密交換中的數據。

 

 

 

目前這兩個漏洞的安全追蹤編号為(wèi) CVE-2023-24023，影響采用 4.2 至 5.4 版本的藍牙設備黃短。

 

 

 

 

目前藍牙成為(wèi)很多設備的标準配置，預估全球範圍内，包括筆記本來雜電腦、智能手機和其他(tā)移動設備在内，會(huì)有舊厭數十億台設備受到影響。BLUFFS 影響 2014 年 12 月發布風劇的藍牙 4.2 以及 2023 年 2 月發布的最醫學新版本藍牙 5.4 之間的所有版本。

 

Bluetooth SIG（Special Interest Group門湖）是負責監督藍牙标準開(kāi)發并負責該技術許可的非營利組織城農，已收到 Eurecom 的報告，并在其網站上發表了一份聲明。

該組織建議，拒絕使用低(dī)于七個 octets 的低(dī)密鑰強度連接，使用“Security M刀輛ode 4 Level 4”，以确保更高的加密強度級畫照别，并在配對時(shí)以“僅安全連接”模銀畫式運行。