藍牙的核心與Mesh規格含有7個安全漏洞，允許駭客冒充合法裝置

藍牙技術聯盟（Bluetooth SIG）在24日揭露了7個有關藍牙規格的安全漏洞，這些安全漏洞存在於Core及Mesh Profile規格中，將允許駭客冒充合法裝置，波及Android開源專案、思科、Cradlepoint、英特爾、Microchip與紅帽的相關產品。

Bluetooth Core與Bluetooth Mesh Profile都是用來定義各種，企圖利用藍牙進行連線的裝置政策及技術需求的規格，在本周揭露的漏洞中，與Mesh Profile規格有關的為CVE-2020-26559、CVE-2020-26556、CVE-2020-26557與CVE-2020-26560；而CVE-2020-26555、CVE-2020-26558與另一個尚未具備編號的漏洞，則涉及Core規格。

根據卡內基梅隆大學CERT協調中心的說明，相關漏洞將可用來執行冒充攻擊並揭露驗證值（AuthValue），允許駭客在執行藍牙配對時，假冒為合法裝置。

這些漏洞同時波及了採用藍牙規格的作業系統與硬體，其中，Android開源專案受到當中3個漏洞的影響，Google已準備藉由下一次的Android安全更新修補；紅帽至少受到兩個漏洞的影響，尚未提出修補時程。

思科則說受到兩個漏洞的影響，正在等待個別產品團隊的回報以提供軟體更新；專門開發雲端無線邊緣網路設備的Cradlepoint，以及英特爾亦受到兩個漏洞的波及；美國微控制器與半導體製造商Microchip已確定其中的兩個漏洞，影響該公司的部分藍牙產品，並已訂出修補計畫。