蓝牙：严重缺陷允许在您的智能手机上执行恶意代码

蓝牙再次成为严重安全漏洞的受害者。据负责监督蓝牙标准制定的组织蓝牙技术联盟 (Bluetooth SIG) 称，该缺陷将允许黑客在两个连接的设备之间进行“中间人”类型的攻击。然后，黑客可以在受害者的智能手机上执行恶意代码。

后导致数百万智能手机的短信和通话被监视的巨大缺陷，蓝牙再次成为严重安全缺陷的受害者。该漏洞是由洛桑瑞士联邦理工学院和印第安纳州普渡大学的计算机安全研究人员发现的。

它主要涉及“双模”兼容设备，即支持BLE（蓝牙低功耗）和BBR/BEDR（蓝牙基本速率/增强数据速率）标准的设备。这个缺陷，以 BLURtooth 活动命名，依赖于存在的漏洞勒CTKD（交叉传输密钥派生），一种算法，其任务是为两种标准生成加密密钥。

现在想象一下，用户将智能手机连接到所连接的耳机或扬声器。一般来说，除了第一次连接的情况外，两台设备自动连接，无需经过认证框。在这里，附近配备 PC 的黑客可以在没有保护的情况下简单地连接到该设备。

另请阅读：蓝牙——新的安全漏洞威胁着数百万台设备

蓝牙 4.2 至 5.0 版本面临风险

一旦完成，黑客就可以利用 BLURtooth 来转移 CTKD为了删除之前生成的加密密钥并创建新的。这就是黑客发起“中间人”类型攻击的方式连接到受保护的设备，连接到未受保护的外围设备。例如，在这种情况下，您的智能手机连接到无线耳机。

此时此刻，黑客可以在您的智能手机上随意执行恶意代码，窃取您的个人数据、查阅您的通讯内容等。蓝牙 SIG 指定这些攻击不可能通过蓝牙 5.1 进行。另一方面，该标准的 4.2 至 5.0 版本容易受到攻击。

该组织的合作伙伴制造商已被警告存在此缺陷。蓝牙 SIG 已经向制造商发布了补丁，制造商必须依次在各自的设备上部署该补丁。

另请阅读：Android – 一个漏洞可以让你监视你的蓝牙耳机

来源 ：蓝牙技术联盟