藍牙被攻破！殃及數十億設備

近日，安全人員分享了一項名為「BLUFFS」的新型攻擊方式。攻擊者發現並利用了藍牙標準中的兩個未知漏洞，這些漏洞影響自2014年底至今的所有藍牙設備。Eurecom已經展示了針對多種設備的攻擊結果，結果顯示至少有三種攻擊方式是有效的。

考慮到藍牙是一種廣泛應用且成熟的無線通信標準，以及這些漏洞可能波及的版本範圍較廣，「BLUFFS」攻擊可能會對數十億設備構成威脅，包括筆記本電腦、智能手機和其他移動設備。

這種攻擊旨在破壞藍牙會話的過去和未來的保密性，並對設備之間的通信造成威脅。它通過利用四個會話密鑰派生過程中的兩個新漏洞來實現目標。在實施攻擊時，通過暴力破解密鑰的方式可以解密過去的通信內容，並控制或操縱未來的通信。

無論受害者是否支持安全連接（Secure Connections, SC）或傳統安全連接（Legacy Secure Connections, LSC），這些攻擊方式都是可行的。為了防止這種攻擊方式，建議採取各種強加密措施，例如拒絕連接強度低於七個位元組的連接、使用「Security Mode 4 Level 4」，並在配對時僅使用安全連接模式進行操作。

藍牙SIG收到這一報告後已經發佈了一份聲明，提醒用戶關注並採取相應的保護措施。同時，他們也建議開發人員在設計藍牙設備時考慮安全性因素，並確保其產品符合最新的安全標準。