首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

数十亿设备受到BrakTooth蓝牙漏洞影响

2021-09-06 16:00 · 稿源: cnbeta

本月初,安全研究人员披露了 16 个影响诸多流行 SoC 芯片组的蓝牙软件堆栈漏洞,用于笔记本电脑、智能手机、工业与 IoT 设备的 1400 款芯片组都未能幸免。若被黑客利用,这组统称为“BrakTooth”的蓝牙漏洞,或被用于崩溃、冻结、或接管易受攻击的设备。在最坏的情况下,攻击者还可执行恶意代码并接管整个系统。

研究人员表示,测试期间,他们只检查了来自 11 个供应商的 13 款 SoC 板的蓝牙软件堆栈。

但随着研究的深入,他们发现相同的蓝牙固件,有可能在 1400 多款芯片组中得到应用。

这些芯片组被用于各种设备的基础功能模块,且涵盖了笔记本电脑、智能手机、工业设备、以及大量智能“物联网”设备。

据推测,受影响的设备数量,达到了数十亿的规模。至于 BrakTooth 造成的问题的严重程度,则取决于不同的硬件。

1 Arbitrary Code Execution on ESP32 via Bluetooth Classic (BR_EDR)(via)

其中最糟糕的,莫过于 CVE-2021-28139 。因为它允许远程攻击者通过蓝牙 LMP 数据包,在易受攻击的设备上运行自己的恶意代码。

研究团队指出,该漏洞会影响基于 Espressif System 的 ESP32 SoC 板而构建的智能与工业设备,并且波及其它 1400 款商用产品中的大多数。

不难推测,其中一些产品都有重复使用相同的蓝牙软件堆栈。至于其它 BrakTooth 隐患,虽然相比之下没有那么严重,但它们还是对行业造成了较大的困扰。

比如几个漏洞可被用于基于错误格式的蓝牙 LMP(链接管理器协议)数据包来轰炸智能机 / 笔记本电脑的蓝牙服务,并最终导致其陷入崩溃。

易受此类漏洞攻击的设备,包括了微软的 Surface 笔记本电脑、戴尔台式机、以及多款基于高通芯片组的智能机。

此外攻击者还可利用截断、超大或无序的蓝牙 LMP 数据包,使设备也陷入完全崩溃的状态。如视频演示所示,此时用户将不得不手动重启设备。

2 BrakTooth - Invalid Timing Accuracy attack on Qualcomm based phones(via)

研究团队称,所有 BrakTooth 攻击都可利用价格低于 15 美元的现成蓝牙设备来发起。而在其测试过的 13 款 SoC 芯片组中,就总共曝出了多达 16 个漏洞。

遗憾的是,尽管研究人员早在漏洞披露的数月之前,就已经向所有 11 家供应商发去了通知。但在 90 天的宽限期过后,并非所有供应商都及时地完成了漏洞修复补丁的制作。

截止目前,只有 Espressif Systems、英飞凌(前 Cypress)和 Bluetrum 已经发布了相关漏洞补丁,更让人无语的是,德州仪器明确表示他们懒得修复影响自家芯片组的相关缺陷。

其它几家供应商承认了研究团队的漏洞发现,但无法给出安全补丁的明确发布日期,理由是需要花时间来对每个影响自家产品和软件堆栈的 BrakTooth 漏洞进行内部排查。

最后,负责指定蓝牙标准的 Bluetooth SIG 的一位发言人告诉 The Record,称他们已经意识到了这些问题,但无法向供应商施加压力。

理由是 BrakTooth 对标准本身没有影响,所以需要依靠各家供应商自己去解决。

综上所述,由于距离补丁的全面推出还有一段时间,研究团队也不得不推迟了任何概念验证代码的披露。

而是设置了一份网络表单,以敦促供应商与之取得联系,并获取测试自家设备的相关代码。

举报

  • 相关推荐
  • 大家在看
  • Arteus AI:AI生成图像

    Arteus AI Image Generator是一款由Arteus AI开发的尖端工具,利用先进的人工智能技术从文本提示中创建图像。只需描述您想生成的内容,Arteus AI就能产生出来。该工具采用了生成对抗网络(GANs)或变分自编码器(VAEs)等复杂的深度学习算法,通过学习数据集中的模式并根据输入参数生成图像,从而确保高质量输出。Arteus AI Image Generator非常灵活,可以创建各种类型的图像,包括逼真的照片、抽象艺术、风景、肖像等。用户可以通过调整参数或提供具体指令来定制生成的图像。

  • ApyHub AI APIs:强大的开发者和团队实用API

    ApyHub是一个拥有100多个API的目录,从简单的工具到复杂的AI解决方案。找到、测试和管理最适合您应用程序的API。

  • SumyAI:视频摘要工具

    SumyAI是一款AI驱动的视频摘要工具,可以将冗长的视频压缩成关键要点,以便更快地吸收,节省时间并增强记忆力。定价:免费试用。

  • AI Girlfriend Emma:与AI女友Emma一起享受甜蜜时光

    AI女友Emma是一个可以与你进行交流的虚拟伴侣。她可以陪伴你聊天,提供情感支持和娱乐,为你带来温暖和快乐。免费用户每周可以发送30条消息,付费用户享受无限制的沟通。价格为1.99美元/周。

  • Emplibot:WordPress自动博客写作AI工具

    Emplibot是一个自动将高质量文章发布到WordPress博客的AI工具。它通过进行关键词研究、插入图片和内部链接等方式,自动完成文章的生成。它能为您的目标用户量身定制内容,提升博客的SEO效果,促进业务增长。

  • DocTranslator:AI 文件翻译工具

    DocTranslator 是世界上最好的 AI 翻译工具,支持超过 100 种语言,可快速翻译大型 PDF、Word、Excel、PPT 文件。提供免费试用计划和存储计划,支持 MS Word、Excel 和 PDF 格式,保留原始格式和布局。价格从 0.005 美元 / 单词起,满足各种用户需求。

  • sourcenext:梦幻 AI 翻译机

    ポケトーク是一款梦幻的 AI 翻译机,可以让无法交流的人进行对话,具有高度实用性和便携性,是旅行、商务等场景的理想助手。

  • chichi-pui:AI 画像专用的投稿和生成网站

    chichi-pui(ちちぷい)是一家 AI 画像专用的投稿和生成网站,用户可以在此分享和生成 AI 插画、AI 照片等作品。该网站拥有丰富的 AI 画像投稿和生成内容,适合对 AI 艺术感兴趣的用户使用。用户可在网站上参与不同的活动和投稿企划,与其他用户分享作品并获取灵感。

  • Al Comic Factory:自动生成有情感、有故事性的漫画内容

    Al Comic Factory利用大型语言模型和SDXL技术自动生成有情感、有故事性的漫画内容。用户只需提供简单文本提示,AI Comic Factory即可生成包含人物对话和场景描述的漫画。支持多种配置、用户交互、多语言内容创建、批量生成漫画变体等功能。

  • Chatmind AI:AI 原生思维导图在线工具

    Chatmind 是一款由 Xmind 团队推出的免费在线 AI 思维导图和头脑风暴工具,通过 ChatGPT 技术,帮助用户在几分钟内创建思维导图。用户可以通过简单的文本描述生成思维导图,快速总结文档或 URL 链接为思维导图,与 AI 对话产生创意并整合到思维导图中,描述文本即可立即生成图像,轻松为任何主题创建视觉内容,自动保存文件历史以便跨设备访问,编辑文本和重新排列主题轻松自如,将思维导图转化为幻灯片展示只需一键,轻松以多种格式分享思维导图。

  • Scribble Diffusion:将您的草图转化为精致图像

    Scribble Diffusion利用人工智能将您的草图转化为精致图像。用户可以上传草图并获得优化后的图像。产品定位为为用户提供便捷的图像处理功能,提升设计效率。

  • Sider:AI 助手,集成多功能 AI 工具

    Sider 是一款 AI 助手,集成了 ChatGPT 3.5/4、Gemini 和 Claude 等多功能 AI 工具,能够帮助用户进行聊天、写作、阅读、翻译、解释、图像测试等操作。用户可在任何网页上使用 Sider,提供强大的 AI 支持。

  • joyland:沉浸式 AI 聊天平台,创造自己的冒险!

    joyland是一个沉浸式 AI 聊天平台,用户可以在其中进行基于角色的对话,创造自己的冒险故事。通过与虚拟角色互动,用户可以逃离现实生活的平凡,沉浸于充满乐趣和想象力的互动体验中。乐园的定价灵活多样,适合不同用户需求。

  • Charstar AI:虚拟 AI 角色交流平台

    Charstar AI 是一个基于最新开源 AI 技术支持的虚拟角色交流平台,用户可以与各种虚拟 AI 角色进行互动、发现新角色,并探索其潜在故事。通过与虚拟角色聊天,用户可以体验到独特的交流方式,为用户提供全新的虚拟角色交互体验。

  • FakeYou:深度伪造文本到语音生成器

    FakeYou Celebrity Voice Generator 是一款利用深度伪造技术生成喜爱角色说任何你想说的话的文本到语音生成器。用户可以免费使用该工具来创作独特的声音内容。

  • The StoryGraph:根据您的心情和偏好追踪和选择书籍。

    The StoryGraph 是一个帮助用户跟踪阅读进度并选择下一本书的平台。用户可以免费使用大部分功能,也提供付费的 Plus 计划获得更加个性化的体验。由 Nadia Odunayo 和 Rob Frelow 创办,始于 Nadia 的个人项目,致力于帮助用户管理阅读列表。用户可以在 App Store 和 Play Store 下载 The StoryGraph 的移动应用,并从 Goodreads 导入阅读数据。

  • Happy Scribe:音频转文字及视频字幕服务

    Happy Scribe 提供自动和人工转录服务,将音频转换为文本,准确率达到 85-99%,支持 120 多种语言和 45 多种格式。定位于为用户提供高效的音视频转录及字幕服务。

  • Product Hunt:发现科技领域最佳新品AI产品

    Product Hunt 是每天最佳新品的精选。发现最新的移动应用程序、网站和技术产品,人人都在谈论。

  • JanitorAI:NSFW虚构聊天机器人角色

    JanitorAI 是一个集合了各种有趣的聊天机器人的平台,用户可以与各种不同性格和故事背景的虚拟角色进行互动。平台定位于提供娱乐和交流的虚拟角色体验。用户可以选择不同的角色与之互动,体验多样化的聊天和故事情节。平台允许用户创建具有不同个性的NSFW虚构聊天机器人角色。该平台由大型语言模型驱动,包括OpenAI的GPT模型。

  • ComfyUI-SuperBeasts:用于增强图像动态范围和视觉吸引力的图像处理应用程序

    ComfyUI-SuperBeasts是一款用于增强图像动态范围和视觉吸引力的图像处理应用程序。它提供了一组可调整的参数,用于根据用户偏好微调HDR效果。该应用程序具有以下特点:调整阴影、高光和整体HDR效果的强度;应用伽马校正以控制整体亮度和对比度;增强对比度和色彩饱和度,使结果更加生动;通过在LAB颜色空间处理图像来保留颜色准确性;利用基于亮度的掩码进行针对性调整;将调整后的亮度与原始亮度进行混合,以实现平衡效果。

今日大家都在搜的词: