分享
[新聞] htc會修復藍牙漏洞嗎?
文章分類:HTC One A9 / HTC 指南
鴻鴻19952017-9-14 16:25
如題,漏洞詳情請見文末。
最近有研究發現幾乎所有的藍牙裝置都有問題,請問htc會針對舊裝置釋出安全性更新嗎?
________________________________________________________________________
安全公司Armis Labs研究人員揭露一項針對藍牙漏洞進行的攻擊手法,使開啟藍牙連線的行動裝置可能被駭客植入惡意程式。雖然蘋果、微軟及Google皆已修補漏洞,但上億Android及iOS 10以前的裝置用戶則曝露在風險之中。
攻擊者只要接近目標受害者,透過藍牙連線取得其MAC位置,即可藉由目標裝置的藍牙漏洞入侵,研究人員因此稱這項攻擊手法為BlueBorne。在這類攻擊中,受害者只要開啟藍牙即可,不需與攻擊者裝置做過配對,不須任何設定,甚至不需設為「可尋找」模式,此外也不需要使用者介入就能入侵。
BlueBorne基本上影響所有使用藍牙連線的裝置。根據估計,包括現代化手機、電腦、電視、汽車及醫療器材,今天這類裝置高達82億個。研究人員表示,藍牙連線裝置等往往是網路上防護最弱的終端,感染速度極快,且藍牙對所有作業系統具有最高權限,也提高BlueBorne攻擊的危險性。
他們相信BlueBorne手法可被用以發動各種型態攻擊,包括遠端執行程式碼以取得裝置控制權、存取公司資料或網路、滲透進企業內網而感染鄰近裝置,或是進行中間人(man-in-the-middle)攻擊。
這點類似7月間資安公司公佈Broadcom Wi-Fi晶片的Broadpwn漏洞,後者允許攻擊者透過無線網路對Android及iOS裝置發動攻擊。
研究人員並公佈8個BlueBorne使用的藍牙零時攻擊漏洞,其中有4個被列為重大風險。這些漏洞已被證實可被入侵用戶裝置。受影響作業系統包括Android、Linux、Windows及iOS 10以前的系統,基本上涵蓋所有的連網裝置。
微軟在本周的安全修補已經修補所有Windows版本的藍牙漏洞。iOS 10也已修補了這些漏洞。也就是說,全球約20億Android裝置,以及舊版iOS裝置用戶仍然曝露於風險之中。雖然Google已經針對Marshmallow及Nougat釋出更新版,但受到Android現有版本及更新機制分歧的限制,勢必仍有眾多的Android裝置,因此從Google Pixel、Samsung Galaxy、LG Watch Sport到汽車音響可能都還未修補。研究人員並成功測試入侵了Google Pixel及Nexus手機。
此外,Linux裝置如Samsung Gear S3、Samsung Smart TV及Samsung連網冰箱等也在可能受害名單上。
http://www.ithome.com.tw/news/116820
本文章最後由( 鴻鴻1995 )於 2017-9-14 17:30 編輯
分享