近日,網絡安全專家發現藍牙連接協議存在兩個新的安全漏洞。這兩個漏洞影響使用藍牙4.2至5.4版本的所有設備,自2014年底以來的全部藍牙設備都可能受到影響。Eurecom的安全專家Daniele Antonioli解釋稱,利用這些漏洞已經開發了6種類型的全新攻擊方式,統稱為「BLUFFS」,可以破壞藍牙會話的保密性,並且可以冒充設備或執行中間人攻擊。
目前這兩個漏洞的安全追蹤編號為CVE-2023-24023。預估全球範圍內包括筆記本電腦、智能手機和其他移動設備在內會有數十億台設備受到此問題的影響。
藍牙SIG(Special Interest Group)是負責監督藍牙標準開發並負責該技術許可的非營利組織,已收到Eurecom的報告,並在其網站上發表了一份聲明。他們建議拒絕使用低於七個octets 的低密鑰強度連接,使用「Security Mode 4 Level 4」,以確保更高的加密強度級別,並在配對時以「僅安全連接」模式運行。
對此問題,注: BLUFFS影響2014年12月發佈的藍牙4.2以及2023年2月發佈的最新版本藍牙5.4之間的所有版本。
