“传染性”蓝牙缺陷使您所有连接的设备都可能被黑客攻击

蓝牙漏洞让所有连接设备面临被黑风险

如果你还没担心够黑客入侵电网、网络攻击击垮整个国家，还有大型自然灾害这些事，那新发现的蓝牙漏洞又带来了新麻烦，几乎所有连接设备都可能被黑客攻击。

据Tech Republic报道：BlueBorne是一种攻击途径，可能会影响数十亿设备。
如果你的设备运行iOS、安卓、Windows甚至Linux系统，那这些设备就可能有风险。

使用BlueBorne，黑客能在空中（不需要设备与攻击者的设备配对）对蓝牙连接设备发起攻击。
一旦成功入侵，攻击者就能完全控制受害者的设备。

到目前为止，Armis Labs已经发现了八个与BlueBorne相关的零日漏洞。
不过文章提到，该公司认为可能还有“更多”漏洞有待发现。
例如BlueBorne能进行远程代码执行和中间人攻击。

因为BlueBorne是通过空中传播，并且能从一台设备传播到另一台设备，研究人员称其“传染性很强”。
它这种空中传播的特性还意味着它常常瞄准现代网络防御策略中最薄弱的环节。

BlueBorne的传播方式还能让它感染隔离网络（这是一种网络安全防护措施，网络中的设备与外部网络没有直接连接），这是研究人员非常关注的一点。
此外，它对攻击者来说几乎不需要什么操作，不需要受害者互动，而且在很多系统中都能不被察觉。

这就使得所有连接设备容易遭受网络间谍、数据盗窃和勒索软件攻击。
如果你的银行或者信用卡账户密码保存在设备上，就很可能因为这个漏洞被黑客轻易入侵。
设备上的任何东西都可能被黑客控制。

Armis Security的报告称这是一种“全面且严重的威胁”。

BlueBorne这种攻击途径不需要用户互动，与所有软件版本兼容，除了蓝牙处于激活状态外不需要任何前置条件或者配置。
与人们普遍误解的不同，蓝牙设备一直在搜索来自任何设备的连接请求，并非只搜索那些已经配对的设备。
这就意味着不需要配对就能建立蓝牙连接。
这使得BlueBorne成为近年来发现的潜在范围最广的攻击方式之一，能让攻击者完全不被察觉地进行攻击。

以下这些设备可能会因蓝牙漏洞被黑。
注意，几乎所有设备都在其中。

安卓
所有安卓手机、平板电脑和可穿戴设备（仅使用蓝牙低能耗技术的除外）的所有版本都会受到安卓操作系统中四个漏洞的影响，其中两个允许远程代码执行（CVE - 2017 - 0781和CVE - 2017 - 0782），一个会导致信息泄露（CVE - 2017 - 0785），最后一个允许攻击者进行中间人攻击（CVE - 2017 - 0783）。

受影响设备示例：
谷歌Pixel手机、三星Galaxy系列手机、三星Galaxy Tab平板电脑、LG Watch Sport智能手表、Pumpkin Car Audio System车载音频系统。

谷歌已经发布了安全更新补丁并通知了合作伙伴。
2017年8月7日提供给安卓合作伙伴，于2017年9月4日作为9月安全更新和公告的一部分发布。
建议用户查看该公告获取最新最准确的信息。
安卓用户应确认自己有2017年9月9日的安全补丁级别。

Windows
自Windows Vista以来的所有Windows电脑都会受到“蓝牙菠萝”漏洞的影响，这个漏洞允许攻击者进行中间人攻击（CVE - 2017 - 8628）。

微软在2017年7月11日就向所有支持的Windows版本发布了安全补丁，并于2017年9月12日进行了协调通知。
建议Windows用户查看微软发布的内容获取最新信息。

Linux
Linux是很多设备的底层操作系统。
基于Linux最商业化和面向消费者的平台是Tizen OS。

所有运行BlueZ的Linux设备都会受到信息泄露漏洞（CVE - 2017 - 1000250）的影响。

从2011年10月发布的3.3 - rc1版本开始的所有Linux设备都会受到远程代码执行漏洞（CVE - 2017 - 1000251）的影响。

受影响设备示例：
三星Gear S3智能手表、三星智能电视、三星Family Hub智能冰箱。

Linux的更新信息一旦发布就会提供。

iOS
所有运行iOS 9.3.5及更低版本的iPhone、iPad和iPod touch设备，以及运行7.2.2及更低版本的AppleTV设备都会受到远程代码执行漏洞的影响。
不过苹果已经在iOS 10中减轻了这个漏洞的影响，所以不需要新的补丁来缓解。
建议升级到可用的最新iOS或者tvOS版本。

如果你担心你的设备没有打补丁，建议关闭蓝牙，在能确认设备已经打了补丁并且安装好了之前尽量减少使用。

那如何保护自己呢？
蓝牙的一个主要用途是让手机用户在开车时免提通话。
要记住这种攻击途径的传染性。
如果他们能黑你的手机，就可能黑你的汽车，我们之前就怀疑这在过去可能是高科技谋杀的一种手段。
这就把记者迈克尔·赫芬顿（Michael Hastings）之死从某种高科技科幻阴谋论变成了任何掌握BlueBorne技术的普通黑客都有能力做到的事情。

此外，像健身手表之类与电脑同步的设备也使用蓝牙技术。
在问题解决之前你应该关闭蓝牙。

引用：https://www.theorganicprepper.com/bluetooth-flaw-makes-connected-devices-hackable/
原文: https://s4.tttl.online/blog/1736116745/