外媒AppleInsider一个研究小组揭示了一个新的漏洞,允许攻击者欺骗现代蓝牙设备,并将其与伪装成可信设备的恶意设备相匹配。该安全漏洞被该团队称为蓝牙模仿攻击(BIAS),它会影响一系列蓝牙设备的使用,包括iPhone、iPad和Mac。
本质上,偏见攻击利用了蓝牙设备如何处理长期连接的漏洞。当两个蓝牙设备匹配时,它们“链接密钥”达成协议,这样他们就可以在没有配对过程的情况下重新连接。瑞士洛桑联邦理工学院的研究人员发现,他们可以欺骗以前配对设备的蓝牙地址,而不知道链接密钥。结合其他蓝牙漏洞,如蓝牙密钥协商(KNOB),在安全认证模式下,攻击者可以破坏运行的设备。BIAS如果攻击成功,攻击设备可用于其他目的,包括访问蓝牙发送的数据,甚至控制以前配对设备的功能。由于蓝牙连接通常不需要明确的用户交互,偏见和旋钮攻击也隐藏在用户不知情的情况下。
当然,这种攻击有自己的局限性,只影响蓝牙的基本速率/增强数据速率,即经典蓝牙。然而,这仍然攻击了相对较新的苹果设备,包括iPhone 8及以上,2017年MacBook2018年,2018年iPad型号及以上。
为了实施攻击,不良参与者需要在易受攻击设备的蓝牙范围内知道以前配套设备的蓝牙地址。对于一个熟练的攻击者来说,找到这些蓝牙地址是相对微不足道的,即使是随机的。信息技术带来的数字洪流将人类社会推向了以数据为生产手段的新时代。数据作为一个元素的重要性日益突出,这也使得越来越多的攻击手段层出不穷。数据风险是可预见的潜在风险。如何规避数据风险,不仅要增强自身的数据保护意识,还要加强科技建设,完善数据保护的保护体系。在隐私泄露巨大之前,我们应该采取预防措施。