您的位置: 首頁(yè) >科技 >

范圍廣泛的小工具有破壞藍(lán)牙安全漏洞的風(fēng)險(xiǎn)

2022-09-14 03:13:21 編輯:鄭士時(shí) 來(lái)源:
導(dǎo)讀 網(wǎng)絡(luò)安全研究人員分享了開(kāi)源實(shí)時(shí)Zephyr OS的藍(lán)牙低功耗 (BLE) 軟件堆棧中八個(gè)漏洞的詳細(xì)信息。在Linux 基金會(huì)的支持下開(kāi)發(fā),Zephyr 在...

網(wǎng)絡(luò)安全研究人員分享了開(kāi)源實(shí)時(shí)Zephyr OS的藍(lán)牙低功耗 (BLE) 軟件堆棧中八個(gè)漏洞的詳細(xì)信息。在Linux 基金會(huì)的支持下開(kāi)發(fā),Zephyr 在被英特爾收購(gòu)并最終開(kāi)源之前開(kāi)始于 Wind River 。該操作系統(tǒng)支持 200 多個(gè)主板,包括 Intel、Linaro、德州儀器、Nordic Semiconductor、Bose、Facebook、Google 等公司的成員,其中許多公司擁有運(yùn)行 Zephyr 的設(shè)備。

發(fā)現(xiàn)漏洞的安全供應(yīng)商 Synopsys 將漏洞分為三個(gè)高級(jí)類別。一些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行,而其他漏洞可能被利用來(lái)獲取加密密鑰等機(jī)密信息。

“所有報(bào)告的漏洞都可以在藍(lán)牙 LE 的范圍內(nèi)觸發(fā)。觸發(fā)漏洞不需要身份驗(yàn)證或加密,” Synopsys 在其公告中寫(xiě)道。

Synopsys 指出,利用這些漏洞的唯一要求是 Zephyr 驅(qū)動(dòng)的設(shè)備處于廣告模式并接受連接。

Synopsys 網(wǎng)絡(luò)安全研究中心的高級(jí)軟件工程師 Matias Karhumaa在接受The Register采訪時(shí)分享說(shuō),智能手表、健身追蹤器等藍(lán)牙設(shè)備和連續(xù)血糖監(jiān)測(cè)傳感器等醫(yī)療設(shè)備以廣告模式運(yùn)行,以方便外部設(shè)備連接到它們。

就在上個(gè)月,法國(guó)信息系統(tǒng)安全局 (ANSSI) 的研究人員在兩個(gè)關(guān)鍵的藍(lán)牙服務(wù)中發(fā)現(xiàn)了許多漏洞,這些漏洞可能被利用來(lái)允許攻擊者劫持配對(duì)請(qǐng)求以執(zhí)行 Man-in -the-Middle (MitM) 攻擊。

當(dāng)被問(wèn)及 Zephyr 藍(lán)牙漏洞的可利用性時(shí),Karhumaa 分享說(shuō),他認(rèn)為企業(yè)不應(yīng)該花時(shí)間試圖弄清楚一個(gè)漏洞是否可以在現(xiàn)實(shí)世界中被利用,而應(yīng)該努力“使其易于識(shí)別、復(fù)制、并解決漏洞,而不管它們的可利用性如何。”

根據(jù) Synopsys 的公告,這些漏洞早在 2021 年 3 月就已與 Zephyr 共享,Zephyr 立即開(kāi)始修復(fù)這些漏洞,最終在 6 月初發(fā)布的 Zephyr 2.6.0 中對(duì)所有報(bào)告的漏洞進(jìn)行了修補(bǔ)。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請(qǐng)聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點(diǎn)擊排行

2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號(hào):閩ICP備19027007號(hào)-6

本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。