近日,网络安全专家发现蓝牙连接协议存在两个新的安全漏洞。这两个漏洞影响使用蓝牙4.2至5.4版本的所有设备,自2014年底以来的全部蓝牙设备都可能受到影响。Eurecom的安全专家Daniele Antonioli解释称,利用这些漏洞已经开发了6种类型的全新攻击方式,统称为“BLUFFS”,可以破坏蓝牙会话的保密性,并且可以冒充设备或执行中间人攻击。
目前这两个漏洞的安全追踪编号为CVE-2023-24023。预估全球范围内包括笔记本电脑、智能手机和其他移动设备在内会有数十亿台设备受到此问题的影响。
蓝牙SIG(Special Interest Group)是负责监督蓝牙标准开发并负责该技术许可的非营利组织,已收到Eurecom的报告,并在其网站上发表了一份声明。他们建议拒绝使用低于七个octets 的低密钥强度连接,使用“Security Mode 4 Level 4”,以确保更高的加密强度级别,并在配对时以“仅安全连接”模式运行。
对此问题,注: BLUFFS影响2014年12月发布的蓝牙4.2以及2023年2月发布的最新版本蓝牙5.4之间的所有版本。
