1.媒体来源:
iThome
2.完整新闻标题:
蓝牙漏洞恐让上亿手机门户大开,不用配对或设定就能骇入装置
3.完整新闻内文:
研究人员指出只要使用者装置开启了蓝牙通讯功能,攻击者只要取得蓝牙装置的MAC位置
,不需与装置配对或设定,就能在使用者不察下入侵该装置,尽管微软、苹果、Google已
修补漏洞,但仍有上亿装置曝露于风险中。
文/林妍溱 | 2017-09-13发表
安全公司Armis Labs研究人员揭露一项针对蓝牙漏洞进行的攻击手法,使开启蓝牙连线的
行动装置可能被骇客植入恶意程式。虽然苹果、微软及Google皆已修补漏洞,但上亿
Android及iOS 10以前的装置用户则曝露在风险之中。
攻击者只要接近目标受害者,透过蓝牙连线取得其MAC位置,即可借由目标装置的蓝牙漏
洞入侵,研究人员因此称这项攻击手法为BlueBorne。在这类攻击中,受害者只要开启蓝
牙即可,不需与攻击者装置做过配对,不须任何设定,甚至不需设为“可寻找”模式,此
外也不需要使用者介入就能入侵。
BlueBorne基本上影响所有使用蓝牙连线的装置。根据估计,包括现代化手机、电脑、电
视、汽车及医疗器材,今天这类装置高达82亿个。研究人员表示,蓝牙连线装置等往往是
网络上防护最弱的终端,感染速度极快,且蓝牙对所有作业系统具有最高权限,也提高
BlueBorne攻击的危险性。
他们相信BlueBorne手法可被用以发动各种型态攻击,包括远端执行程式码以取得装置控
制权、存取公司资料或网络、渗透进企业内网而感染邻近装置,或是进行中间人(
man-in-the-middle)攻击。
这点类似7月间资安公司公布Broadcom Wi-Fi芯片的Broadpwn漏洞,后者允许攻击者透过
无线网络对Android及iOS装置发动攻击。
研究人员并公布8个BlueBorne使用的蓝牙零时攻击漏洞,其中有4个被列为重大风险。这
些漏洞已被证实可被入侵用户装置。受影响作业系统包括Android、Linux、Windows及
iOS 10以前的系统,基本上涵盖所有的连网装置。
入侵Android装置的示范影片:
https://youtu.be/Az-l90RCns8
微软在本周的安全修补已经修补所有Windows版本的蓝牙漏洞。iOS 10也已修补了这些漏
洞。也就是说,全球约20亿Android装置,以及旧版iOS装置用户仍然曝露于风险之中。虽
然Google已经针对Marshmallow及Nougat释出更新版,但受到Android现有版本及更新机制
分歧的限制,势必仍有众多的Android装置,因此从Google Pixel、Samsung Galaxy、LG
Watch Sport到汽车音响可能都还未修补。研究人员并成功测试入侵了Google Pixel及
Nexus手机。
此外,Linux装置如Samsung Gear S3、Samsung Smart TV及Samsung连网冰箱等也在可能
受害名单上。
4.完整新闻连结 (或短网址):
http://www.ithome.com.tw/news/116820
5.备注:
Google原生安卓手机稳定性赢iOS?一支漏洞百出还不能更新的系统要怎么让手机维持
稳定?五楼你说说看