物聯(lián)網(wǎng)設(shè)備無處不在——包括大多數(shù)人的口袋、工作空間和客廳。因此,黑客入侵網(wǎng)絡(luò)以竊取數(shù)據(jù)或劫持電子設(shè)備是一種常見且合理的恐懼。
我們都期望廉價的IP攝像機(jī)可能會受到損害,但最近的公告顯示,即使是我們的無線揚(yáng)聲器,智能手表和其他支持藍(lán)牙的設(shè)備也不安全。
新加坡科技與設(shè)計大學(xué)(SUTD)的研究人員發(fā)現(xiàn)了來自英特爾,高通,樂鑫系統(tǒng)和其他供應(yīng)商的至少1,400個支持藍(lán)牙的SoC設(shè)備中存在的一系列漏洞。而且很可能還有很多很多。
研究人員將這一系列可利用的漏洞稱為BrakTooth,“brak”是挪威語中崩潰的術(shù)語。
BrakTooth漏洞是藍(lán)牙SoC的鏈路管理協(xié)議(LMP)固件中的缺陷,可用于發(fā)送使設(shè)備崩潰的惡意代碼。攻擊者或惡意軟件可以通過多種方式利用BrakTooth。讓我們回顧其中的幾個。
制動藍(lán)牙
BrakTooth 危害藍(lán)牙設(shè)備的一種方法是拒絕服務(wù) (DoS) 攻擊。通過此攻擊媒介,黑客通過其藍(lán)牙連接向目標(biāo)設(shè)備發(fā)送特制數(shù)據(jù)包。未配置為接受這些數(shù)據(jù)包,藍(lán)牙設(shè)備固件接受數(shù)據(jù)包,但無法處理它們。最終,這會壓倒設(shè)備的藍(lán)牙鏈接并使系統(tǒng)崩潰。
黑客還可以使用 BrakTooth 發(fā)送數(shù)據(jù)包,這些數(shù)據(jù)包將通過功能泛洪鎖定音頻設(shè)備。SUTD的研究人員在兩種不同的音頻設(shè)備上進(jìn)行了這項(xiàng)測試——JBL Tune 500BT耳機(jī)和小米MDZ-36-DB揚(yáng)聲器。耳機(jī)關(guān)閉時,揚(yáng)聲器完全凍結(jié),需要手動重新啟動。
它影響物聯(lián)網(wǎng)設(shè)備的另一種方式是任意代碼執(zhí)行。
為布拉克齒虎做好準(zhǔn)備
不幸的是,目前沒有太多可以保護(hù)您的設(shè)備免受BrakTooth攻擊 - 除了在不使用藍(lán)牙時禁用藍(lán)牙。但一切都沒有丟失。
發(fā)現(xiàn)BrakTooth的研究人員將他們的發(fā)現(xiàn)通知了設(shè)備制造商,以便采取措施修補(bǔ)漏洞。因此,如果您是藍(lán)牙用戶(您很可能是藍(lán)牙用戶),請繼續(xù)留意設(shè)備更新,因?yàn)樗鼈兛赡馨圃焐萄a(bǔ)丁。
但從工程角度來看,BrakTooth提出了更大的測試相關(guān)問題。
首先,藍(lán)牙核心規(guī)范在測試方法方面存在一些差距,因?yàn)樗赋觥疤幱跍y試模式的藍(lán)牙設(shè)備應(yīng)忽略與
控制測試模式。因此,許多藍(lán)牙制造商可能完全忽略了LMP受到損害的可能性。
盡管如此,連接設(shè)備安全的責(zé)任并不落在藍(lán)牙特別興趣小組(Bluetooth SIG)身上。它落在解決方案提供商身上。而且,即使在 2021 年,似乎也缺乏或沒有足夠的知識來防止此錯誤的無線測試工具。上市時間的壓力如此之大,以至于測試根本不夠徹底。
與此同時,網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局在GitHub上發(fā)布了BrakTooth概念驗(yàn)證工具,可用于測試藍(lán)牙設(shè)備的BrakTooth漏洞。
審核編輯:郭婷
-
藍(lán)牙
+關(guān)注
關(guān)注
116文章
6078瀏覽量
174012 -
物聯(lián)網(wǎng)
+關(guān)注
關(guān)注
2931文章
46245瀏覽量
392481 -
智能手表
+關(guān)注
關(guān)注
38文章
3332瀏覽量
117410
發(fā)布評論請先 登錄
物聯(lián)網(wǎng)藍(lán)牙模塊有哪些優(yōu)勢?
如何選擇合適的物聯(lián)網(wǎng)藍(lán)牙模塊?
桂花網(wǎng)藍(lán)牙網(wǎng)關(guān)物聯(lián)網(wǎng)醫(yī)院動態(tài)血糖管理應(yīng)用案例
半導(dǎo)體硅表面氧化處理:必要性、原理與應(yīng)用

PROM器件在物聯(lián)網(wǎng)設(shè)備中的重要性
淺析中低壓系統(tǒng)母線裝設(shè)弧光保護(hù)的必要性及應(yīng)用

藍(lán)牙AES+RNG如何保障物聯(lián)網(wǎng)信息安全
物聯(lián)網(wǎng)系統(tǒng)的安全漏洞分析
如何提高物聯(lián)網(wǎng)設(shè)備的互聯(lián)性
如何測試物聯(lián)網(wǎng)設(shè)備的功耗

評論