研究人員揭露重大的BLE漏洞，舉凡支援接近解鎖功能的汽車、門鎖或筆電都可能遭駭

英國資安業者NCC Group周一（5/16）公布了一個有關低功耗藍牙（Bluetooth Low Energy，BLE）安全漏洞，宣稱他們得以藉由連結層中繼攻擊（Link Layer Relay Attack），攻陷所有以BLE作為接近身分認證（Proximity Authentication）的裝置，並已成功自遠端解鎖Tesla Model 3，以及Kwikset/Weiser旗下Kevo系列的智慧門鎖。

BLE為一無線個人區域網路技術，可於一定距離內提供低功耗的傳輸能力，許多裝置都利用BLE執行接近身分認證功能，像是透過手機程式來解鎖附近的汽車、智慧鎖、門禁控制系統、筆電或智慧手錶等。

這並非是首個有關BLE中繼攻擊的研究，卻是首個透過連結層的中繼攻擊，而且只要藉由便宜的既有硬體就能發動攻擊，理論上可於地球的這一端駭進地球另一端的汽車。

連結層是BLE中與實體層相鄰的介面，它負責宣傳、掃描、建立與維護與實體層的連結，研究人員藉由連結層上的基頻傳送資料，便能繞過藍牙堆棧上層用來對抗已知中繼攻擊的加密BLE傳輸保護。

NCC Group已打造出一個可執行相關攻擊的工具，它僅帶來8毫秒的來回通訊延遲，落在藍牙通用屬性規範（GATT）所允許的回應時間內，還能中繼加密的連結層通訊，同時繞過本地端用來對抗放大訊號中斷攻擊的防護。

研究人員直接在2020年出廠Tesla Model 3上進行實驗，安裝Tesla程式的是iPhone 13 mini，把iPhone 13擺某個屋子的頂樓，Tesla Model 3則停放在25米外的車庫裡，並在離iPhone 13大約7米處置放了一個中繼裝置，也在Tesla Model 3半徑範圍3米處置放另一個中繼裝置，然後就以iPhone把Tesla Model 3解鎖了。

研究人員也在此一實驗中企圖辨識系統所能忍受的來回通訊延遲，發現最久可達80毫秒，足以利用Wi-Fi網路來發動攻擊，意謂著駭客有機會透過網路執行遠距離的攻擊行動。

NCC Group僅測試了Tesla Model 3，但相信Tesla Model Y也難逃一劫，而且不僅是Tesla，任何以BLE作為無鑰匙解決方案的汽車都可能淪陷。

除了汽車外，NCC Group也測試了Kwikset/Weiser品牌Kevo系列的智慧鎖，同樣是把一個中繼裝置放在門鎖附近，另一個中繼裝置放在手機或鑰匙圈附近，透過兩個中繼裝置傳遞彼此的訊號，而成功開啟了門鎖。

NCC Group認為，這並非是一個只藉由軟體修補就能解決的傳統漏洞，也不是藍牙規格的缺陷，錯的是把技術用在並非相關技術開發目的的用途上，特別是涉及安全的應用，基於BLE的接近身分認證原本就不是要被應用在解鎖等重要系統上。

研究人員也提出了緩解建議，包括製造商可在使用者手機或鑰匙靜止一段時間後關閉接近解鎖功能，系統製造商則應允許使用者選擇第二種身分認證機制，至於一般的使用者則應關閉無需使用者同意的被動解鎖功能，或者是在不需要時關閉行動裝置的藍牙。

NCC Group自今年4月起就開始通知受影響的製造商，包括特斯拉（Tesla）在內，不過，特斯拉的產品安全團隊則說，中繼攻擊早就是被動進入系統（Passive Entry System）的已知限制。研究人員則建議Tesla車主可以設定程式，在手機靜止超過1秒後關閉被動進入功能，或是在認證時要求程式回報手機最後已知位置，以讓汽車能夠偵測與拒絕遠端的中繼攻擊。