示意圖,與新聞事件無關。

安全公司Armis Labs研究人員揭露一項針對藍牙漏洞進行的攻擊手法,使開啟藍牙連線的行動裝置可能被駭客植入惡意程式。雖然蘋果、微軟及Google皆已修補漏洞,但上億Android及iOS 10以前的裝置用戶則曝露在風險之中。 

攻擊者只要接近目標受害者,透過藍牙連線取得其MAC位置,即可藉由目標裝置的藍牙漏洞入侵,研究人員因此稱這項攻擊手法為BlueBorne。在這類攻擊中,受害者只要開啟藍牙即可,不需與攻擊者裝置做過配對,不須任何設定,甚至不需設為「可尋找」模式,此外也不需要使用者介入就能入侵。 

BlueBorne基本上影響所有使用藍牙連線的裝置。根據估計,包括現代化手機、電腦、電視、汽車及醫療器材,今天這類裝置高達82億個。研究人員表示,藍牙連線裝置等往往是網路上防護最弱的終端,感染速度極快,且藍牙對所有作業系統具有最高權限,也提高BlueBorne攻擊的危險性。 

他們相信BlueBorne手法可被用以發動各種型態攻擊,包括遠端執行程式碼以取得裝置控制權、存取公司資料或網路、滲透進企業內網而感染鄰近裝置,或是進行中間人(man-in-the-middle)攻擊。 

這點類似7月間資安公司公佈Broadcom Wi-Fi晶片的Broadpwn漏洞,後者允許攻擊者透過無線網路對Android及iOS裝置發動攻擊。 

研究人員並公佈8個BlueBorne使用的藍牙零時攻擊漏洞,其中有4個被列為重大風險。這些漏洞已被證實可被入侵用戶裝置。受影響作業系統包括Android、Linux、Windows及iOS 10以前的系統,基本上涵蓋所有的連網裝置。

入侵Android裝置的示範影片: 

 

微軟在本周的安全修補已經修補所有Windows版本的藍牙漏洞。iOS 10也已修補了這些漏洞。也就是說,全球約20億Android裝置,以及舊版iOS裝置用戶仍然曝露於風險之中。雖然Google已經針對Marshmallow及Nougat釋出更新版,但受到Android現有版本及更新機制分歧的限制,勢必仍有眾多的Android裝置,因此從Google Pixel、Samsung Galaxy、LG Watch Sport到汽車音響可能都還未修補。研究人員並成功測試入侵了Google Pixel及Nexus手機。 

此外,Linux裝置如Samsung Gear S3、Samsung Smart TV及Samsung連網冰箱等也在可能受害名單上。


Advertisement

更多 iThome相關內容