BIAS的新蓝牙错误可能会侵入苹果和英特尔和三星设备

据报道，智能手机，笔记本电脑和其他物联网设备等蓝牙设备容易受到新的BIAS蓝牙攻击或蓝牙模拟攻击(BIAS)的攻击。根据研究人员的说法，新的BIAS攻击可对任何具有蓝牙功能的设备起作用，并且可以攻击Apple，Intel，三星，Broadcom，Cypress等OEM的设备和固件。

“我们使用实现来验证身份验证机制中的漏洞确实存在于真实设备中，而不仅仅是标准的怪癖。我们成功攻击了主要硬件和软件供应商的31个蓝牙设备(28个独特的蓝牙芯片)，代表所有主要的蓝牙版本，包括苹果，高通，英特尔，赛普拉斯，博通，三星和CSR，”研究人员在一份声明中说。

蓝牙技术用于数十亿个设备之间的无线通信，并且蓝牙标准包括“传统身份验证过程和安全身份验证过程，因此允许设备使用长期密钥相互进行身份验证”。BIAS错误利用了两种蓝牙设备首次配对时设备处理链接密钥或长期密钥的方式。

“由于这种攻击基本上影响了所有会说蓝牙的设备，因此我们在2019年12月与负责蓝牙标准制定的标准组织蓝牙特别利益组织(Bluetooth Special Interest Group，Bluetooth SIG)进行了负责任的披露，以确保能够解决该问题。就位。”研究人员指出。

蓝牙SIG在一份新闻说明中提到，蓝牙核心规范已更新，“以防止BIAS攻击者将蓝牙经典协议从安全身份验证方法降级为BIAS攻击成功的传统身份验证模式”。

“为纠正此漏洞，Bluetooth SIG正在更新Bluetooth Core规范，以澄清何时允许角色切换，在旧版身份验证中要求相互认证，并建议检查加密类型，以避免将安全连接降级到旧版加密。这些更改将被引入将来的规范修订版中，”蓝牙技术联盟在一份声明中说。