藍芽傳輸漏洞! 技術聯盟:改長密碼即可解

藍芽技術聯盟(Bluetooth SIG)公開宣布一個新的安全漏洞,該漏洞讓駭客能夠破解藍芽的加密程序,進而窺伺或偽造傳輸內容。

這項漏洞其實相當巧妙,駭客不需要直接破解系統的加密,而是迫使一對藍芽裝置使用較弱的加密程序,讓破解的難度大幅降低。當兩個藍芽裝置在進行連接時,會建立一個新的加密金鑰,駭客可以介入這個設定的過程,騙過裝置,讓它們設定一個較短的密碼金鑰,在這之後駭客要以暴力破解系統便容易許多。

然而大部分的藍芽使用者不必感到驚慌,駭客若想執行這種攻擊,必須在藍芽傳輸的範圍之內,同時要在兩個裝置開始傳輸的當下,攔截住兩者的傳輸訊號,再對加密金鑰的長度進行設定,降低密碼強度後再以暴力破解,攻破系統的最後才能完成駭客原本的目的,藍芽技術聯盟認為在這麼短的時間內要做這麼多事很有難度。

而且也不是所有的藍芽裝置都受到威脅,這個漏洞只出現在應用傳統藍芽模式的裝置上,低功耗藍芽與高速藍芽等模式皆不在此列,同時,使用更長的密碼也能有效抵擋該漏洞可能造成的危害,也因為藍芽技術聯盟尚未找到解決漏洞的方式,只能建議用戶手動將密碼改長。

截至目前為止,尚未有證據顯示出有駭客曾使用這項漏洞進行犯罪,而此漏洞被命名為「KNOB(Key Negotiation Of Bluetooth)攻擊」,由來自德國亥姆霍茲資安中心(CISPA)與牛津大學(University of Oxford)的研究者們所組成的團隊,在高等計算系統協會(USENIX)的座談會中提出。

隨時補充新觀點,《立報傳媒》Line→http://bit.ly/2YyjUW1