一篇论文详细介绍了一些苹果设备如何容易受到短程BIAS攻击的影响,攻击者模仿了以前信任的蓝牙设备。
这篇论文的标题是“BIAS:蓝牙模拟攻击S”,它的部分抽象状态是:
摘要-蓝牙(BR/EDR)是数十亿台设备使用的一种普遍的无线通信技术。 蓝牙标准包括遗留身份验证过程和安全身份验证过程,允许设备使用长期密钥相互验证。 在配对和安全连接建立期间使用这些程序以防止模拟攻击。 在本文中,我们证明了蓝牙规范包含了在安全连接建立期间能够执行模拟攻击的漏洞。 这些漏洞包括缺乏强制性的相互认证、角色切换过于宽松以及认证程序降级。 我们详细描述了每个漏洞,并利用它们来设计、实现和评估对遗留身份验证过程和安全身份验证过程的主从模拟攻击。 我们将我们的攻击称为蓝牙模拟攻击S(BIAS)。
正如9到5Mac指出的那样,这篇论文非常技术性,但结果是攻击者可以使用RasberryPI这样的低成本设备,假装是以前信任的蓝牙设备。 使用一种叫做“角色转换”的东西,所以与其用你的设备来验证远程设备,不如用另一种方式。 错误意味着你的设备毫无疑问地同意了这一点。 报告的结论是:
由于BIAS攻击,攻击者在模拟蓝牙主设备和从设备的同时完成安全连接设置,而不必知道和验证受害者之间共享的长期密钥。 BIAS攻击符合标准,并且对遗留安全连接(使用遗留身份验证过程)和安全连接(使用安全身份验证过程)有效。 BIAS攻击是第一次发现与蓝牙的安全连接建立认证程序、对抗性角色开关和安全连接降级有关的问题。 由于蓝牙安全连接的建立不需要用户交互,的建立不需要用户交互。
你可以在这里阅读完整的报告
所有的话题都是关于今年晚些时候的新iPhone,但苹果手表系列6可能仍然是苹果的一个大版本。 这个概念刺激了食欲。
Adobe今天宣布了两个大的应用程序更新,其中一些高度要求的功能首次亮相。
Jon Prosser在他的最新视频中透露了一系列关于苹果新AR眼镜的独家消息。
你的新iPhone上的屏幕很贵。 正因为如此,你可能想考虑买一个便宜的屏幕保护器