高复杂性下的蓝牙安全危机
蓝牙就像胶水一样和我们的智能设备紧密的粘在一起,这意味着一旦出现BUG,可能会引发严重的后果。
最近,位于美国加州圣克拉拉市的安全公司McAfee(迈克菲,是一家致力于创建最佳计算机安全解决方案的公司,该公司提供的杀毒软件是全世界最畅销的杀毒软件之一)的研究人员报告了一种名叫BoxLock(一款自带扫码功能的挂锁,可以支持蓝牙、扫码开锁)的智能挂锁存在蓝牙低能耗(BLE,全称Bluetooth Low Energy,它是蓝牙协议的一个浓缩版本)误配置的问题,它使得设备可以在没有任何密码或加密保护的情况下自由配对,研究人员可以随意连接到任何一把锁上,通过分析可以辨别出是哪个设备发出了解锁命令,此外BoxLock将该命令配置为读写模式,一旦攻击者知道目标是谁,就能启用解锁命令。
除以上事件之外,其实类似漏洞早在2017年就被曝光了,当时影响着包括电脑、手机、物联网在内的近50亿终端设备,虽然很多缺陷已被修复,但目前仍有10多亿设备受到影响,而这类通过利用一系列蓝牙漏洞攻击的媒介统称为BlueBorne。