1.媒體來源:
iThome
2.完整新聞標題:
藍牙漏洞恐讓上億手機門戶大開,不用配對或設定就能駭入裝置
3.完整新聞內文:
研究人員指出只要使用者裝置開啟了藍牙通訊功能,攻擊者只要取得藍牙裝置的MAC位置
,不需與裝置配對或設定,就能在使用者不察下入侵該裝置,儘管微軟、蘋果、Google已
修補漏洞,但仍有上億裝置曝露於風險中。
文/林妍溱 | 2017-09-13發表
安全公司Armis Labs研究人員揭露一項針對藍牙漏洞進行的攻擊手法,使開啟藍牙連線的
行動裝置可能被駭客植入惡意程式。雖然蘋果、微軟及Google皆已修補漏洞,但上億
Android及iOS 10以前的裝置用戶則曝露在風險之中。
攻擊者只要接近目標受害者,透過藍牙連線取得其MAC位置,即可藉由目標裝置的藍牙漏
洞入侵,研究人員因此稱這項攻擊手法為BlueBorne。在這類攻擊中,受害者只要開啟藍
牙即可,不需與攻擊者裝置做過配對,不須任何設定,甚至不需設為「可尋找」模式,此
外也不需要使用者介入就能入侵。
BlueBorne基本上影響所有使用藍牙連線的裝置。根據估計,包括現代化手機、電腦、電
視、汽車及醫療器材,今天這類裝置高達82億個。研究人員表示,藍牙連線裝置等往往是
網路上防護最弱的終端,感染速度極快,且藍牙對所有作業系統具有最高權限,也提高
BlueBorne攻擊的危險性。
他們相信BlueBorne手法可被用以發動各種型態攻擊,包括遠端執行程式碼以取得裝置控
制權、存取公司資料或網路、滲透進企業內網而感染鄰近裝置,或是進行中間人(
man-in-the-middle)攻擊。
這點類似7月間資安公司公佈Broadcom Wi-Fi晶片的Broadpwn漏洞,後者允許攻擊者透過
無線網路對Android及iOS裝置發動攻擊。
研究人員並公佈8個BlueBorne使用的藍牙零時攻擊漏洞,其中有4個被列為重大風險。這
些漏洞已被證實可被入侵用戶裝置。受影響作業系統包括Android、Linux、Windows及
iOS 10以前的系統,基本上涵蓋所有的連網裝置。
入侵Android裝置的示範影片:
https://youtu.be/Az-l90RCns8
微軟在本周的安全修補已經修補所有Windows版本的藍牙漏洞。iOS 10也已修補了這些漏
洞。也就是說,全球約20億Android裝置,以及舊版iOS裝置用戶仍然曝露於風險之中。雖
然Google已經針對Marshmallow及Nougat釋出更新版,但受到Android現有版本及更新機制
分歧的限制,勢必仍有眾多的Android裝置,因此從Google Pixel、Samsung Galaxy、LG
Watch Sport到汽車音響可能都還未修補。研究人員並成功測試入侵了Google Pixel及
Nexus手機。
此外,Linux裝置如Samsung Gear S3、Samsung Smart TV及Samsung連網冰箱等也在可能
受害名單上。
4.完整新聞連結 (或短網址):
http://www.ithome.com.tw/news/116820
5.備註:
Google原生安卓手機穩定性贏iOS?一支漏洞百出還不能更新的系統要怎麼讓手機維持
穩定?五樓你說說看