蓝牙遭曝资安漏洞！ 5.0以下版本恐遭骇攻击
2020/09/14 17:26
文／记者刘惠琴
目前还使用的装置设备包括手机、耳机、喇叭等，所支援的是较旧的4.0或5.0这两个蓝牙
版本的话，务必得多加留意，并尽快更新韧体到最新版本5.1版以上，以防堵可能遭骇客
利用漏洞入侵的资安疑虑。
据外媒ZDNet报导，蓝牙无线通讯技术联盟已于日前发布一项存在于蓝牙标准4.0与5.0版
本的安全性漏洞报告。该漏洞编号被列为“CVE-2020-15802”，并被资安研究人员称为“
BLURtooth”漏洞，借由此漏洞发起的攻击，则被称为BLUR 攻击。
至于攻击手法，主要是透过支援蓝牙4.0与5.0版本的装置设备，当用户所使用的装置，在
进行蓝牙相互配对认证的同时，骇客将可利用存在于蓝牙通讯协定中的跨传输埠金钥的这
项漏洞，借此发动入侵攻击，不但会窜改认证金钥，并且还能覆蓋身份验证，以获得对该
蓝牙装置的控制权限。
此次被称为“BLURtooth”的蓝牙漏洞，是由瑞士洛桑联邦理工学院与美国普度大学的资
安研究团队两组成员所各自独立发现的，并已于日前向蓝牙无线通讯技术联盟Bluetooth
SIG 通报。
对此，SIG 表示，目前暂时还没有针对该漏洞的修补程式释出，需待各品牌原厂针对装置
设备针对该漏洞所释出的韧体更新。为了避免使用蓝牙功能的装置设备遭骇攻击的可能，
建议用户必须主动提高警觉，不要接受来路不明装置的蓝牙配对要求；另，若用户所使用
的装置为蓝牙5.1版，建议可启用内建的防护功能，可阻挡遭骇攻击。
https://3c.ltn.com.tw/news/41661
心得：
移动装置几乎都会内建蓝牙，对于外接鼠标、键盘或耳机等算是挺方便的
不过因此出现的漏洞就得小心了，希望各家厂牌都能早日提供自家产品更新