科技创新
科技创新 您现在的位置: 奇迹电游 > 科技创新

手机信息安全:蓝牙安全漏洞可能让附近的攻击者获取您的私人数据

  加入日期:2018-08-21 20:12    点击量:4188
手机信息安全:蓝牙安全漏洞可能让附近的攻击者获取您的私人数据

许多蓝牙固件和操作系统驱动程序中最近发现的错误可能允许攻击者在大约30米内捕获和解密蓝牙配对设备之间共享的数据。以色列理工学院的研究人员发现了这一缺陷,该缺陷今天被卡内基梅隆大学CERT标记。它会影响蓝牙的安全简单配对和低能耗安全连接。 ZDNet报道:

正如CERT通知所解释的那样,该漏洞是由某些供应商的蓝牙实施在蓝牙设备配对时未正确验证加密密钥交换引起的。该缺陷涉及蓝牙密钥交换实现,该实现使用椭圆曲线Diffie-Hellman(ECDH)密钥交换来在不安全信道上建立安全连接。这可能允许附近但远程的攻击者注入伪造的公钥以在公钥 - 私钥交换期间确定会话密钥。然后,他们可以进行中间人攻击并“被动拦截和解密所有设备消息,和/或伪造并注入恶意消息”。

值得庆幸的是,补丁即将推出。 “英特尔建议用户升级到最新的支持驱动程序,如果他们在各自的更新中提供了一个,请与供应商联系,”ZDNet报道。 “戴尔已经发布了一款新的高通驱动程序驱动程序,而联想的更新是针对英特尔软件的缺陷.LG和华为在7月份的移动设备更新中引用了CVE-2018-5383的修复程序。”目前尚不清楚Android,Google或Linux内核是否会受到影响。 Apple本月早些时候发布了针对该漏洞的补丁。