11 月 30 日，網(wǎng)絡(luò)安全專(zhuān)家近日?qǐng)?bào)告，發(fā)現(xiàn)藍(lán)牙連接協(xié)議中存在 2 個(gè)全新的安全漏洞，使用藍(lán)牙 4.2 至 5.4 版本的所有設(shè)備均存在被攻擊者劫持的風(fēng)險(xiǎn)，影響自 2014 年年底至今的所有藍(lán)牙設(shè)備。

Eurecom 安全專(zhuān)家丹尼爾?安東尼奧利（Daniele Antonioli）解釋稱(chēng)，利用這 2 個(gè)藍(lán)牙標(biāo)準(zhǔn)中的漏洞，目前已開(kāi)發(fā)了 6 種類(lèi)型的全新攻擊方式，統(tǒng)稱(chēng)為“BLUFFS”，可以破壞藍(lán)牙會(huì)話的保密性，可以冒充設(shè)備或者執(zhí)行中間人（MitM）攻擊。

本次曝光的兩個(gè)漏洞，主要和藍(lán)牙協(xié)議中會(huì)話密鑰的派生方式有關(guān)，而這些密鑰負(fù)責(zé)解密交換中的數(shù)據(jù)。

目前這兩個(gè)漏洞的安全追蹤編號(hào)為 CVE-2023-24023，影響采用 4.2 至 5.4 版本的藍(lán)牙設(shè)備。

目前藍(lán)牙成為很多設(shè)備的標(biāo)準(zhǔn)配置，預(yù)估全球范圍內(nèi)，包括筆記本電腦、智能手機(jī)和其他移動(dòng)設(shè)備在內(nèi)，會(huì)有數(shù)十億臺(tái)設(shè)備受到影響。

注：BLUFFS 影響 2014 年 12 月發(fā)布的藍(lán)牙 4.2 以及 2023 年 2 月發(fā)布的最新版本藍(lán)牙 5.4 之間的所有版本。

Bluetooth SIG（Special Interest Group）是負(fù)責(zé)監(jiān)督藍(lán)牙標(biāo)準(zhǔn)開(kāi)發(fā)并負(fù)責(zé)該技術(shù)許可的非營(yíng)利組織，已收到 Eurecom 的報(bào)告，并在其網(wǎng)站上發(fā)表了一份聲明。

該組織建議，拒絕使用低于七個(gè) octets 的低密鑰強(qiáng)度連接，使用“Security Mode 4 Level 4”，以確保更高的加密強(qiáng)度級(jí)別，并在配對(duì)時(shí)以“僅安全連接”模式運(yùn)行。