新的安全漏洞导致数十亿蓝牙连接设备面临黑客攻击的风险

因此，黑客可以通过这个安全漏洞攻击两台设备之间的蓝牙连接，窃取数据，即使是最新的设备也是如此。黑客可以利用这个漏洞窃取各种不同设备上的信息。

此次攻击背后的幕后黑手——EURECOM科学研究中心的安全专家丹尼尔·安东尼奥利（Daniele Antonioli）强调，BLUFFS安全漏洞针对的是架构缺陷，而非特定的硬件或软件配置。这意味着这些安全漏洞攻击的是蓝牙技术的核心，影响了从2014年12月发布的4.2版到2023年2月发布的最新版本5.4版的蓝牙设备。

这些漏洞与如何获取蓝牙会话密钥以解密两个设备之间交换的数据有关。研究人员演示了六种 BLUFFS 攻击，每种攻击都使用不同的设备模拟或中间人攻击。BLUFFS 利用了蓝牙标准中两个先前未知的漏洞，这些漏洞与如何获取会话密钥以解密交换的数据有关。

EURECOM 的报告展示了 BLUFFS 对运行蓝牙 4.1 至 5.2 版本的各种设备（包括智能手机、耳机和笔记本电脑）进行测试的结果。结果证实，所有这些设备都至少容易受到六种 BLUFFS 攻击中的三种。

即使用户的设备配备了最新的蓝牙安全功能，上述方法仍然有效，因为蓝牙的基本架构存在安全漏洞。因此，从平板电脑、笔记本电脑、智能手机到使用蓝牙的耳机，数十亿台设备都面临着攻击的风险。

然而，BLUFFS 漏洞需要两台设备彼此处于蓝牙覆盖范围内才能发挥作用。一旦进入覆盖范围，攻击者就可以更改用于加密数据的安全密钥。他们可以解密或篡改数据，这需要攻击者伪装成共享数据的设备之一。

英特尔、博通、苹果、三星、高通等主要品牌生产的处理器容易受到 BLUFFS 安全漏洞的影响。研究人员还开发并测试了一种可以阻止上述攻击的高级连接密钥。

在收到EURECOM关于BLUFFS安全漏洞的报告后，蓝牙技术联盟（Bluetooth SIG）发出警告，建议用户拒绝不符合关键要求的连接。蓝牙技术联盟是由著名电子制造商爱立信、IBM、英特尔、诺基亚、东芝、微软、联想和苹果等公司共同创立的，负责监督蓝牙技术开发和授权的非营利组织。

这并不是安全专家安东尼奥利第一次发现蓝牙标准中的安全问题。此前，在2020年5月，他作为第一作者发表了一篇论文，详细介绍了蓝牙模拟攻击（BIAS），这种类似于BLUFFS的安全漏洞允许攻击者绕过配对认证密钥来冒充任何蓝牙设备。

目前，蓝牙用户无法采取任何措施来增强其抵御攻击风险的安全性，即使是运行最新蓝牙连接版本的设备也是如此。因为BLUFFS漏洞与蓝牙架构相关。用户唯一的办法是限制与不熟悉设备的蓝牙连接，并定期检查更新以安装补丁。

对于移动设备，用户应定期更新软件。更重要的是，用户应在不使用时关闭蓝牙连接，以降低被攻击的风险，并谨慎对待已配对的设备，不要同意与未知来源的设备配对。

蓝牙技术联盟 (Bluetooth SIG) 目前正在研究解决方案，并提出了一些建议。首先是引入新一代安全密钥。这将是一种快速解决方案，并允许用户确认其数据已传输到正确的位置。不过，更多有关拟议解决方案的信息可能会在不久的将来公布。