蓝牙七大严重漏洞,攻击者可以冒充合法设备在配对过程中冒充合法设备发起中间人(MitM)攻击。BluetoothCore和MeshProfile规范定义了Bluetooth设备相互通信和使用BluetoothLowEnergy无线设备以实现可互操作的网状网络解决方案所需的要求。负责监督蓝牙标准开发的蓝牙特别兴趣小组(BluetoothSIG)今天早些时候发布了一份安全公告,针对影响两个易受攻击规范的七个安全漏洞中的每一个提供了缓解建议。下表列出了有关已发现漏洞的详细信息,包括受影响的蓝牙规范。据卡内基梅隆大学的CERT协调中心(CERT/CC)称,Android开源项目(AOSP)、思科、英特尔、红帽、MicrochipTechnology和Cradlepoint的产品迄今已受到这些安全漏洞的影响。AOSP正在努力发布安全更新,以缓解影响Android设备的CVE-2020-26555和CVE-2020-26558漏洞。AOSP告诉CERT/CC:“Android已将此问题评估为Android操作系统中的一个严重漏洞,并将在即将发布的Android安全公告中发布针对此漏洞的补丁。”思科还在努力修补影响其产品的CVE——2020-26555和CVE-2020-26558问题。“思科正在通过事件PSIRT-0503777710追踪这些漏洞,”该公司表示。“思科已经调查了上述蓝牙规范漏洞的影响,目前正在等待所有产品开发团队单独解决这些问题的软件修复。”但是,Intel、RedHat和Cradlepoint在漏洞披露之前并未向CERT/CC提交声明。参考资料:https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/reporting-security/【本文为专栏作者“平安牛”原创文章,转载请注明出处通过SafeCow(微信公众号id:gooann-sectv)获取授权】点此阅读作者更多好文
