NCC集团研究人员发现的蓝牙低功耗漏洞可能被攻击者用来解锁特斯拉或其他具有汽车无钥匙进入的汽车、住宅智能锁、楼宇门禁系统、手机、笔记本电脑等许多其他设备。
他们已经成功地测试了该工具并针对特斯拉Model3以及Kwikset和WeiserKevo智能锁进行了攻击。
Khan告诉彭博新闻,他们能够对其他汽车制造商和科技公司的设备进行攻击,而且攻击所需的硬件,例如继电器可以在网上以便宜的价格找到。尽管如此,攻击者还需要掌握研究人员开发的软件,或开发自己的软件才能发动攻击。
攻击者可以攻击的其他设备包括启用了蓝牙接近解锁功能的笔记本电脑、手机、其他智能锁和楼宇访问控制系统,以及用于资产和医疗患者跟踪的设备。
此安全问题仅影响依赖于蓝牙设备被动检测的系统,并且在解锁依赖于通信协议组合的情况下无法利用。
如何防止被攻击
如上所述,此BLE漏洞无法通过更新固件来修复,但可以采取一些措施来防范这些攻击。
制造商可以通过在用户的手机或遥控钥匙静止一段时间,基于加速度计时禁用感应键功能来降低风险。系统制造商应该让客户选择提供第二个身份验证或用户存在证明,例如,点击手机应用程序中的解锁按钮。
即使是担心受影响产品的用户也可以采取措施保护他们的资产,可以禁用不需要用户明确批准的被动解锁功能,或者在不需要时禁用移动设备上的蓝牙。
由 dawei
【声明】:站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。