研究人員報(bào)告了480個(gè)藍(lán)牙設(shè)備的Sweyntooth漏洞

來(lái)自新加坡的研究人員說(shuō)，他們?cè)?80多個(gè)藍(lán)牙設(shè)備中發(fā)現(xiàn)了安全缺陷，包括設(shè)備、健身手鐲和醫(yī)療器械。 在藍(lán)牙低能量(BLE)軟件開(kāi)發(fā)包中發(fā)現(xiàn)的漏洞可能導(dǎo)致崩潰或允許黑客獲得對(duì)設(shè)備的讀/寫(xiě)訪問(wèn)。

昵稱(chēng)為Sweyntoth，收集的12項(xiàng)漏洞最終可能影響所有主要供應(yīng)商，包括德州儀器，DialogSemiconductors，STMicroelectronics，Microchip，NXP，Cypress和Telink半導(dǎo)體。

新加坡技術(shù)與設(shè)計(jì)大學(xué)的研究人員指出，有數(shù)百種設(shè)備可能是脆弱的。 它們包括FitbitInspire智能手表；EVE系統(tǒng)設(shè)備，可以處理門(mén)鎖、光開(kāi)關(guān)、恒溫器和運(yùn)動(dòng)檢測(cè)；8月智能鎖用于家庭進(jìn)入系統(tǒng)；Cubi標(biāo)簽用于跟蹤手提箱或自行車(chē)等物品；以及EGeeTouch，一種智能行李鎖。

研究小組向供應(yīng)商通報(bào)了錯(cuò)誤，許多制造商已經(jīng)為軟件開(kāi)發(fā)包設(shè)計(jì)了補(bǔ)丁。 一些設(shè)備自動(dòng)更新固件，但一個(gè)關(guān)鍵的挑戰(zhàn)將是確保擁有需要手動(dòng)更新的設(shè)備的消費(fèi)者被提醒到漏洞并安裝所需的補(bǔ)丁。

唯一的好消息是威脅不能通過(guò)互聯(lián)網(wǎng)發(fā)起。 潛在黑客必須靠近用戶(hù)。

但有一類(lèi)設(shè)備特別令人關(guān)切。 新加坡的報(bào)告說(shuō)：“最關(guān)鍵的設(shè)備可能會(huì)受到Sweyntoth的嚴(yán)重影響，是醫(yī)療產(chǎn)品。”

在依賴(lài)藍(lán)牙連接的健康設(shè)備中，有起搏器、血糖監(jiān)測(cè)器和藥物傳遞設(shè)備。

研究人員列出了三種主要類(lèi)型的潛在攻擊消費(fèi)者設(shè)備。 它們是崩潰設(shè)備的攻擊，重新啟動(dòng)設(shè)備并迫使它們進(jìn)入死鎖狀態(tài)的攻擊，以及覆蓋安全特性和將設(shè)備手動(dòng)控制給黑客的攻擊。 研究人員認(rèn)為重控是最嚴(yán)重的威脅。

無(wú)線設(shè)備使用BLE協(xié)議來(lái)限制功耗。

有趣的是，藍(lán)牙是以10世紀(jì)丹麥國(guó)王哈拉爾德藍(lán)牙命名的，他幫助治愈了爭(zhēng)吵不休的斯堪的納維亞部落之間的裂痕。 正是這種連接雙方的感覺(jué)，導(dǎo)致了現(xiàn)在被稱(chēng)為藍(lán)牙的開(kāi)發(fā)人員，一種無(wú)線協(xié)議，順利地連接設(shè)備，以選擇這個(gè)名稱(chēng)。 新加坡精明的研究人員知道，歷史學(xué)家相信藍(lán)藍(lán)牙王的兒子斯威恩·?？怂拱偷?Sweyn Forkbeard)強(qiáng)行將他的父親從王位上黜了出來(lái)，并因此為這一新發(fā)現(xiàn)的數(shù)字威脅選擇了“斯威恩圖斯”這個(gè)名字。