藍牙標準是目前大部分無線連接的裝置都會使用的標準之一,因此如果標準本身有保安漏洞,受影響的裝置數量將會相當可觀。最近藍牙技術聯盟表示,部分藍牙規格存在漏洞,可能會被利用作入侵攻擊。
藍牙技術聯盟 (Bluetooth Special Interest Group) 最近表示,他們發現了一個代號為 BLURtooth(CVE-2020-15802)的漏洞,從藍牙 BR/EDR 規格版本 4.2 到 5.0 之間存在,影響極大量的藍牙裝置。這個漏洞讓裝置容易受到密鑰覆蓋的攻擊,使攻擊者可以通過降低加密密鑰強度,或使用未經身份驗證的密鑰,覆蓋經過身份驗證的密鑰,獲得對不受限制的配置文件或服務的其他存取權。
這樣的漏洞對於無線鍵盤、耳機、喇叭和音響產品而言,將有機會造成令私隱或機密暴露的風險。目前組織已經與其成員公司聯絡,鼓勵他們推出修補檔案來杜絕漏洞,他們也鼓勵藍牙裝置的用家安裝最新的系統更新。目前最新的規格版本為 5.2,已經不再存在這個問題。不過這個漏洞要利用亦不容易,因此用家也無需太過擔心。
來源:The Register