“你的牙有漏洞了,你知道吗?”
“我的牙?”
“对,你的蓝牙”
你能想像你每天用蓝牙连接的无线耳机,也存在漏洞风险吗?就有这么一个漏洞它能影响1400多种商业产品,而且还包括了很多国际知名的供应商生产的13款蓝牙芯片,比如英特尔、高通、德州仪器等等。
这个漏洞系列的名字叫BrakTooth,来源于挪威语“Brak”,意为“崩溃”。它的威力巨大,不仅能影响各品牌的产品,还能影响各种不同的产品种类。比如智能手机、信息娱乐系统、笔记本电脑和台式机系统、音频设备(扬声器、耳机)、家庭娱乐系统、键盘、玩具、工业设备等等,而且远远不止这些......
经过计算,这个漏洞可能影响了数十亿台设备。其相关风险范围包括通过破坏设备固件导致的拒绝服务(DOS),或蓝牙通信出现死锁状态,以及任意代码执行。
而发起BrakTooth攻击其实只需要三个东西,一个ESP32开发工具包、一个定制的链路管理协议(Link Manager Protocol, LMP)固件和一台计算机来运行概念验证(proof-of-concept, PoC)工具。
目前已经受影响的供应商在下表:
针对这一漏洞攻击情况,供应商理应进行补偿或者修补。但是一部分供应商却表示可能不会进行漏洞的修补,比如高通的CSR8811和CSR8510 SoC或Texas Instruments的CC2564C就表示不会发布任何修复程序。
但是也不是所有供应商都对这个漏洞置之不理的,例如乐鑫、英飞凌和 Bluetrum Technology)已经针对这些问题发布了补丁。
不得不说,蓝牙虽然是一个不起眼的小功能,但是细数它在我们生活中的存在感还是有的。虽说起不到太大的影响,但是一旦失去它的生活应该是很难不方便的。比如你再也不能用蓝牙耳机,只能拿出一团乱糟糟的有线耳机;另外蓝牙的鼠标、键盘也不能用;蓝牙控制汽车电子装置也将不复存在了......蓝牙不仅应用在生活中,还应用在工业领域、医疗电子设备。
它就像盐一样,看似毫不起眼,但是却非常重要。
所以供应商如果想要持续发展下去,还是要及时修补漏洞,提高客户的使用感。比这个更重要的是要重视网络安全的维护,虽说只要是一个程序就一定会有漏洞,但是维护也很重要。在漏洞还没有被黑客攻击的时候及时修复,避免更多的人因此产生损失。
虽说现在的网络安全人才确实很匮乏,但是作为一家企业也要分清主次。就算花高薪组建一个网络安全团队,也总比败坏用户好感,最后失去用户强。
另外,蓝牙漏洞的影响范围很有可能继续扩大,将会产生什么后果也令人担忧。建议使用者密切关注蓝牙连接行为,并在确认有更新补丁时更新修补漏洞,减少损失。