“传染性”蓝牙缺陷使您所有连接的设备都可能被黑客攻击

“传染性”蓝牙漏洞使所有连接设备面临被黑风险

如果你还没担心够黑客入侵电网、网络攻击让整个国家瘫痪，还有大型自然灾害这些事，那新发现的蓝牙漏洞会让几乎所有连接设备都可能被黑客攻击。

据Tech Republic报道：BlueBorne是一种攻击途径，可能影响数十亿设备。
如果你的设备运行iOS、安卓、Windows甚至Linux系统，那你的设备就可能有风险。

使用BlueBorne，黑客能通过无线方式攻击蓝牙连接设备，而且不需要目标设备与攻击者的设备配对。
一旦成功入侵，攻击者就能完全控制受害者的设备。

到目前为止，Armis Labs已经发现了八个与BlueBorne相关的零日漏洞。
不过文章提到，该公司认为可能还有“更多”漏洞有待发现。
例如BlueBorne能进行远程代码执行和中间人攻击。

因为BlueBorne是通过空气传播的，并且能从一台设备传播到另一台设备，所以研究人员称它“传染性很强”。
它这种通过空气传播的特性也意味着它常常瞄准现代网络防御策略中最薄弱的环节。

BlueBorne的传播方式还能让它感染与外界无网络连接（air - gapped）的网络，这是研究人员非常关注的一点。
此外，它对攻击者来说几乎不需要什么操作，不需要受害者互动，在很多系统中都能不被察觉。
（来源）

这就使得所有连接设备都容易遭受网络间谍活动、数据盗窃和勒索软件攻击。
如果你的银行账户或者信用卡账户密码保存在设备上，就可能因为这个漏洞被轻易黑掉。
设备上的任何东西都在黑客的控制之下。

Armis Security的报告称这是一种“全面且严重的威胁”。

BlueBorne攻击途径不需要用户互动，与所有软件版本兼容，除了蓝牙处于激活状态外不需要任何前置条件或者配置。
与人们普遍误解的不同，蓝牙设备一直在搜索来自任何设备的传入连接，而不只是那些已经配对的设备。
这就意味着不需要配对就能建立蓝牙连接。
这使得BlueBorne成为近年来发现的潜在攻击范围最广的漏洞之一，能让攻击者完全不被察觉地进行攻击。
（来源）

以下设备有因蓝牙漏洞被黑的潜在风险

Armis警告以下设备可能被BlueBorne攻击，注意，几乎所有设备都在其中。

安卓
所有安卓手机、平板电脑和可穿戴设备（仅使用蓝牙低能耗的除外）的所有版本都受安卓操作系统中四个漏洞影响，其中两个允许远程代码执行（CVE - 2017 - 0781和CVE - 2017 - 0782），一个会导致信息泄露（CVE - 2017 - 0785），最后一个允许攻击者进行中间人攻击（CVE - 2017 - 0783）。

受影响设备示例：
谷歌Pixel
三星Galaxy系列手机
三星Galaxy Tab平板电脑
LG Watch Sport智能手表
Pumpkin Car Audio System车载音频系统
谷歌已经发布安全更新补丁并通知了合作伙伴。
该补丁于2017年8月7日提供给安卓合作伙伴，并于2017年9月4日作为9月安全更新和公告的一部分发布。
建议用户查看该公告获取最新最准确的信息。
安卓用户应确认自己有2017年9月9日的安全补丁级别。

Windows
自Windows Vista以来的所有Windows电脑都受“蓝牙菠萝（Bluetooth Pineapple）”漏洞影响，该漏洞允许攻击者进行中间人攻击（CVE - 2017 - 8628）。

微软已经在2017年7月11日向所有支持的Windows版本发布了安全补丁，并于2017年9月12日进行了协调通知。
建议Windows用户查看微软发布的信息获取最新消息。

Linux
Linux是很多设备的底层操作系统。
基于Linux最商业化和面向消费者的平台是Tizen OS。

所有运行BlueZ的Linux设备都受信息泄露漏洞（CVE - 2017 - 1000250）影响。

从2011年10月发布的3.3 - rc1版本开始的所有Linux设备都受远程代码执行漏洞（CVE - 2017 - 1000251）影响。

受影响设备示例：
三星Gear S3智能手表
三星智能电视
三星Family Hub智能冰箱
Linux更新信息一旦发布就会提供。

iOS
所有运行iOS 9.3.5及以下版本的iPhone、iPad和iPod touch设备，以及运行7.2.2及以下版本的AppleTV设备都受远程代码执行漏洞影响。
不过苹果已经在iOS 10中缓解了这个漏洞，所以不需要新的补丁来缓解。
建议升级到最新的iOS或者tvOS版本。

如果你担心你的设备没有打补丁，建议禁用蓝牙，并且在确认补丁发布并安装到设备之前尽量减少使用。
（来源）

如何保护自己？

蓝牙的主要用途之一是供手机用户开车时免提通话。
要记住这种攻击途径的传染性。
如果他们能黑掉你的手机，就能黑掉你的汽车，我们之前都怀疑这在过去已经是高科技谋杀的一种手段了。
这就把记者迈克尔·黑斯廷斯（Michael Hastings）之死从某种高科技科幻阴谋论变成了任何掌握BlueBorne技术的普通黑客都有能力做到的事情。

同样，与电脑同步的设备，比如健身手表，也使用蓝牙技术。
在问题解决之前你应该禁用蓝牙。

引用：https://www.theorganicprepper.com/bluetooth-flaw-makes-connected-devices-hackable/
原文: https://s2.tttl.online/blog/1735971926/