蓝牙核心规范(Bluetooth Core)和蓝牙网状网络连接技术(Mesh Profile)规范近日被爆安全漏洞,可被网络犯罪分子利用进行中间人(man-in-the-middle)攻击。
这两个蓝牙规范确保了多对多蓝牙通信的协议,并使设备之间通过临时网络共享数据。蓝牙冒充攻击(Bluetooth Impersonation AttackS),也称为 BIAS,允许网络犯罪分子与受害者建立安全连接,并有效绕过蓝牙的认证机制。
根据安全研究人员的说法,与安全建立蓝牙认证程序、不良功能切换和安全连接降级有关的第一个问题是BIAS攻击。它们相当稳定,因为安全蓝牙连接不需要用户互动。为了证实 BIAS 攻击实际上是有效的,研究人员对苹果、高通、英特尔、赛普拉斯、博通、三星和CSR的所有主要蓝牙版本进行了测试,对主要技术供应商的 31 个蓝牙设备(28个特定蓝牙芯片)进行了测试。
在 Bluetooth Mesh Profile 规范 1.0 和 1.1 版本中发现了4 个漏洞。完整漏洞包括:
● CVE-2020-26555
蓝牙传统BR/EDR引脚配对协议中的冒充行为(从 v1.0B 到 5.2 版本的蓝牙核心规范)
● CVE-2020-26558
蓝牙LE和BR/EDR安全配对过程中的密码输入协议中的冒名顶替(从 2.1 到 5.2 版本的蓝牙核心规范)。
● N/A(未编号)
蓝牙LE传统配对协议的认证(从 4.0 到 5.2 版本的蓝牙核心规范)
● CVE-2020-26556
蓝牙Mesh配置文件配置中的可塑性承诺(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26557
蓝牙Mesh Profile供应中的可预测 AuthValue(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26559
蓝牙 Mesh Profile AuthValue 泄漏(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
● CVE-2020-26560
蓝牙Mesh Profile配置中的冒名攻击(从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范)。
伦茨科技拥有自主研发数传应用芯片BLE 5.0和高速传输芯片BLE 5.2并具有全球知识产权 ,针对企业用户和个人消费者,提供智能音频类全套量产产品的解决方案,配套全方位APP软件平台定制开发。随着物联网基础设施逐渐布局,伦茨科技已在共享经济、人脸识别,美颜/美妆,直播云台、智慧医疗、个人洗护,人机交互等多个领域独具优势。
最新推出的ST17H66蓝牙BLE5.2芯片,支持蓝牙Mesh,支持一对多,多对多等控制模式,为企业提供“交钥匙”式解决方案,备有全面详细的参考设计,方便客户快速开发产品和面市,第一时间抢占物联网先机。
BLE5.2 ST17H66蓝牙芯片特征
页面更新:2024-05-11
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight 2020-2024 All Rights Reserved. Powered By 71396.com 闽ICP备11008920号-4
闽公网安备35020302034903号