蓝牙是目前手提装置的必备连接方式,早前蓝牙组织公布有一个新的漏洞被发现,骇客可以透过降低装置的加密程度,并从中截取装置资讯,建议加强密码强度。
这个漏洞的原理并非直接破解加密,而是让骇客迫使一对蓝牙装置使用较弱的加密,让它更容易破解。每次两个蓝牙装置连接时,都会建立新的加密密钥,因此如果攻击者介入该过程,则会欺骗两个装置使用相对较少的字元来进行加密。之后攻击者仍然必须对其中一个装置进行暴力破解,但由于强度减低,该攻击效率就得以提升。
蓝牙组织表示,这个缺陷依然需要攻击者在讯号收发范围内重复攻击,而且缺陷只存在于传统的蓝牙装置上而非低耗电版本,目前也没有报告表示有人使用这个缺陷进行攻击。虽然他们暂时未有办法完全修补这个缺陷,但是如果强制装置使用更长的密码做加密,则可以预防问题出现。
- Key Negotiation of Bluetooth
(本文由 Unwire HK 授权转载;首图来源:shutterstock)
