[[401911]]

近日，美國國家情報系統(tǒng)研究人員(ANSSI)在藍(lán)牙Bluetooth Core和Mesh Profile規(guī)范中發(fā)現(xiàn)多個安全漏洞，攻擊者可利用這些漏洞在配對過程中冒充合法設(shè)備，并發(fā)起中間人(MitM)攻擊。

藍(lán)牙核心和網(wǎng)格配置文件規(guī)范定義了藍(lán)牙設(shè)備相互通信以及使用低能耗無線藍(lán)牙設(shè)備所需的要求，以實現(xiàn)可互操作的網(wǎng)格網(wǎng)絡(luò)解決方案。

負(fù)責(zé)監(jiān)督藍(lán)牙標(biāo)準(zhǔn)開發(fā)的藍(lán)牙特別利益組織(Bluetooth Special Interest Group，簡稱Bluetooth SIG)今天早些時候發(fā)布了安全公告，針對影響這兩個脆弱規(guī)范的七個安全漏洞逐一提供了緩解建議。

下表中列出了有關(guān)已發(fā)現(xiàn)漏洞的詳細(xì)信息，包括受影響的藍(lán)牙規(guī)格。

據(jù)卡內(nèi)基梅隆大學(xué)CERT協(xié)調(diào)中心(CERT/CC)稱，到目前為止，Android開源項目(AOSP)、思科、英特爾、紅帽、Microchip Technology和Cradlepoint的產(chǎn)品都受到了這些安全漏洞影響。

AOSP正在努力發(fā)布安全更新，以緩解影響Android設(shè)備的CVE-2020-26555和CVE-2020-26558漏洞。

AOSP告訴CERT/CC：“Android已將該問題評估為Android OS的嚴(yán)重漏洞，并將在即將發(fā)布的Android安全公告中發(fā)布針對此漏洞的補(bǔ)丁程序。”

思科還在努力修補(bǔ)影響其產(chǎn)品的CVE-2020-26555和CVE-2020-26558問題。

該公司表示：“思科正在通過事件PSIRT-0503777710跟蹤這些漏洞。”

“思科已經(jīng)調(diào)查了上述藍(lán)牙規(guī)范漏洞的影響，目前正在等待所有產(chǎn)品開發(fā)團(tuán)隊分別提供解決這些問題的軟件修補(bǔ)程序。”

盡管受到某些漏洞的影響，但英特爾、紅帽和Cradlepoint在漏洞披露之前并未向CERT/CC提交聲明。

參考資料：

https://www.bluetooth.com/learn-about-bluetooth/key-attributes/bluetooth-security/reporting-security/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文