发现了一个新的蓝牙漏洞,它使数十亿设备暴露在黑客面前,其中包括许多 Android 设备。Malwarebytes和Bleeping Computer报告称,该问题已在多家 SoC 制造商生产的蓝牙芯片固件中发现。不幸的是,SoC 制造商列表包含一些最受欢迎的制造商,包括高通、Silicon Labs、英特尔、德州仪器等等……总共 11 家。
此漏洞称为“BrakTooth”。据报道,微软 Surface 笔记本电脑、戴尔台式机和几款基于高通的智能手机型号都使用了易受攻击的芯片。
请注意,研究人员仅检查了来自 11 个供应商的 13 个 SoC 板的蓝牙软件库。相同的蓝牙固件最有可能在来自不同供应商的 1,400 多个芯片组中使用。它被用于智能手机、笔记本电脑、物联网设备、音频设备、键盘、玩具等设备中。
该BrakTooth网站详细介绍,可以发现16个漏洞。还值得注意的是,在这些调查结果发布之前的 90 多天前,有 11 家 SoC 供应商收到了有关此问题的通知。不过,并非所有漏洞都已修补。
据说 BrakTooth 的安全漏洞“范围从设备固件崩溃导致的拒绝服务 (DoS),或蓝牙 不再可能的死锁情况,到任意代码”。
为了让某人利用此漏洞,它需要一个 ESP32 开发套件、一个自定义链接管理器协议 (LMP) 固件和一台计算机来运行概念验证 (PoC) 工具。
研究人员确实证明了可能的攻击
研究人员甚至决定演示这种攻击,只是为了让您了解您正在处理的内容。该演示已被拍摄并上传到 YouTube。该视频已嵌入文章下方。
看到这样的漏洞从来都不是好事,但至少其中一些已经被修补。其他几个正在修补,而一些正在调查中。您可以查看下表以了解更多相关信息。
标签: