首页 > 业界 > 关键词  > 漏洞最新资讯  > 正文

研究人员公布BrakTooth蓝牙漏洞利用代码 CISA敦促供应商尽快修复

2021-11-10 09:41 · 稿源: cnbeta

随着公开漏洞利用代码和一款概念验证工具的发布,美国网络与基础设施安全局(CISA)也及时地向供应商发去了通报,以敦促其尽快修复影响数十亿设备(手机 / PC / 玩具)的拒绝服务(DoS)和代码执行攻击漏洞。ThreatPost 指出,用于测试新曝光的蓝牙 BrakTooth 漏洞的概念验证工具的保密期已结束,相关测试套件和完整漏洞利用代码现已向公众开放访问。

BrakTooth 漏洞检测与利用工具概念验证代码已上线 GitHub(来自:CISA)

据悉,BrakTooth 是一系列影响 1400 多款蓝牙商用产品的缺陷,数十亿受影响的设备都依赖于经典蓝牙协议来通讯。

正如原文指出的那样,攻击者只需找到现成的售价仅 14.80 美元的 ESP32 板子(AliExpress 上的同类产品甚至低到 4 美元)。

然后利用自定义链接管理协议(LMP)固件,即可在计算机上运行 BrakTooth 漏洞的概念验证攻击代码。

受影响的蓝牙 SoC 厂商与型号列表

早在 9 月发表的一篇论文中,新加坡大学研究人员就已经披露了最初的 16 个漏洞(现已多达 22 个),并将其统称为“BrakTooth”。

他们在 1400 多款嵌入式芯片组件中所使用的闭源商用 BT 堆栈中发现了漏洞,并详细说明了它们可能导致的一系列攻击类型。除了常见的拒绝服务(DoS),其中一个漏洞还可能导致任意代码执行(ACE)。

自论文发表以来,已有不少厂商发布了修补更新。与此同时,研究人员也曝光了更多易受攻击的设备,甚至苹果 iPhone 智能机 / MacBook 笔记本电脑也未能幸免。

此外 BrakTooth 漏洞还影响到了微软 Surface、戴尔台式 / 笔记本电脑、索尼 / OPPO 智能机、以及沃尔玛 / 松下等品牌的音频设备。

受影响设备的漏洞补丁状态和 SDK / 固件版本

截止 9 月,该团队已分析 11 家供应商的 13 款 BT 硬件,并列出了 20 份通用漏洞披露(CVE)公告 —— 其中四个来自英特尔高通

不久后,高通发布了 V6(8.6)和 V15(8.15)的 CVE,但研究人员指出或许仍有许多其它产品未被他们统计在内,比如片上系统(SoC)、BT 模块和其它 BT 终端产品。

周一的时候,芯片组供应商 Airoha、联发科和三星陆续披露了旗下某些设备易受攻击的报告。

英特尔、高通和三星的部分设备仍在等待补丁,但来自高通和德州仪器(TI)的某些产品已被列入不打算修复的列表,还有不少供应商正在调查此问题。

举报

  • 相关推荐
  • 绘王发布新款蓝牙单手键盘Keydial Remote K40

    7月15日,绘王推出专为ACG创作者设计的单手键盘Keydial+Remote K40。该产品仅152×56×13.5mm大小,配备8个自定义按键和2个切换键,采用U型布局。支持6组软件专属快捷键设置,创新双编码器采用内外圈嵌套设计,全键无冲。配备OLED屏实时显示键值/电量,蓝牙5.0支持PC/移动端双通道切换,约30小时续航满足多场景创作需求。

  • AI日报:美图发布影像AI Agent RoboNeo;1.8bit量化Kimi K2模型上线;亚马逊推AI代码编辑器 Kiro

    【AI日报】今日AI领域重要动态:1)美图推出RoboNeo,通过自然语言指令实现图片精修、品牌设计等全能影像处理;2)Unsloth AI将Kimi K2模型量化至1.8bit,体积缩减78%保持性能;3)谷歌Gemini嵌入模型登顶MTEB榜单,超越OpenAI;4)亚马逊发布免费AI代码编辑器Kiro,集成Claude模型;5)Claude新增应用工具目录功能提升工作效率;6)MiniMax完成近3亿美元融资,估值超40亿美元;7)UTCP新协议让AI代理直

  • 加速Robotaxi部署 滴滴自动驾驶进入爆发前夜

    滴滴自动驾驶在第十七届国际交通技术设备展上亮相新一代L4级量产车型,配备33个传感器,展现技术突破。公司宣布将持续加大研发投入,与广汽埃安成立合资公司加速无人驾驶商业化落地。目前滴滴Robotaxi车队已在北京、广州等城市稳定运营超1800天无重大事故,并计划年内部署千台车辆。凭借多年技术积累和资本支持(累计融资超15.5亿美元),滴滴正迈向规模化商业运营新阶段。近期与广州市政府达成战略合作,进一步拓展智慧交通应用场景,标志着其自动驾驶技术进入爆发前夜。

  • 销量破万,多地售罄!出门问问TicNote全球热销触发紧急补货

    出门问问(02438.HK)推出AI硬件产品TicNote,全球销量已破万台。该产品搭载"Shadow AI"系统,具备记录、分析、创作等智能功能,实现软硬件结合。TicNote在国内天猫、京东相关品类排名前二,部分区域已断货。作为公司十年AI技术积累的成果,TicNote致力于成为用户的随身AI思考伙伴。出门问问持续深耕AI核心技术,未来将以"Shadow AI"为基础,拓展更多应用场景。目前产品正在紧急补货中,用户可通过京东、天猫旗舰店购买。

  • OPPO K13 Turbo系列外观公布:自带RGB风扇 EVA初号机配色

    OPPO今天正式公布了OPPO K13 Turbo系列新机外观,展示了新机的风扇等外观细节,以及全新配色。 该机后摄模组造型比较简洁,只有主摄和下放的风扇凸起,风扇外圈自带RGB灯效。

  • A日报:月之暗面开源大模型Kimi K2;智源全面开源RoboBrain2.0;通义千问发布Qwen Chat桌面客户端

    本期AI日报重点报道了多项AI领域突破性进展:1.月之暗面推出万亿参数开源大模型Kimi K2,展现强大智能能力;2.智源研究院开源RoboBrain2.0和RoboOS2.0机器人系统;3.通义千问发布桌面客户端Qwen Chat;4.IndexTTS2实现影视级语音合成;5.HuggingFace开源机器人Reachy Mini热销;6.Meta推出实时视频生成模型StreamDiT;7.PixVerse新增多关键帧视频生成功能;8.特斯拉推出仅支持AMD处理器的Grok AI助手;9.OpenAI推迟开源大模型发布以加强安全测试;10.Liquid AI开源边缘AI模型LFM2;11.AI"时间穿越"特效在社交媒体走红。

  • 自动化测试首选服务商:Testin云测有何核心优势?

    文章探讨了AI技术如何重构自动化测试体系。传统自动化测试面临维护成本高、跨平台兼容性差等痛点,而AI通过智能用例生成、缺陷预测、自适应测试等能力实现质变:1)NLP技术将需求文档自动转化为可执行测试用例;2)机器学习分析历史数据预测高风险模块;3)计算机视觉实现跨平台UI元素识别。Testin云测构建了覆盖设备层到场景层的完整测试生态,通过云原生架构支持2000+终端实时调度,结合AI中台实现测试效率提升1.5倍,助力某金融机构降低年度质量成本超千万元。AI与自动化测试的深度融合,正推动质量保障体系向智能化、集约化演进。

  • IQAX助力TCL实现全球供应链数字化转型 实现超5万集装箱智能追踪

    国际航运数字化科技公司IQAX与TCL达成合作,其海运数字化解决方案已在TCL全球物流网络全面部署。该方案通过高精度追踪和AI预测技术,实现5万+集装箱的精准追踪,显著提升供应链管理效率。系统具备智能ETA预测预警功能,帮助物流团队快速响应运输异常。合作标志着TCL以数字化驱动全球化战略的重要实践,双方将持续深化技术应用,探索AI算法在物流预测中的创新,构建端到端可视化供应链体系。2024年TCL电视全球出货量达2900万台,此次合作将为其全球化运营提供坚实保障。

  • 蛋仔派对就异常致歉 公布补偿方案:相关问题已修复

    ​7月3日,《蛋仔派对》官方发布公告,就当日早晨“蛋仔农场”仓库鱼类出售出现的短暂异常现象作出回应。 随着气温不断攀升,“蛋仔农场”夏季版本即将上线。在这忙碌的筹备阶段,负责商店上新与畜牧大业筹备的田园阿公,因天气炎热有些晕头转向,不慎导致7月3日早晨“蛋仔农场”仓库鱼类出售出现短暂异常情况。不过,官方表示目前该问题已经得到修复。

  • 喜临门发布宝褓·BrainCo 打造全球首款脑机接口AI床垫

    喜临门与强脑科技联合发布全球首款脑机接口AI床垫"宝褓·BrainCo"。该产品通过脑电技术实时监测用户睡眠状态,动态调整助眠参数,形成"床适应人"的主动式睡眠优化系统,显著提升助眠效果与深睡质量。产品搭载云动系统,集成三大功能模块,提供智能唤醒、远程控制等功能。此次合作突破行业技术瓶颈,将睡眠科技从"智能"推向"智慧"层面。618期间喜临门销售额超11亿,同比增长43%,印证市场对其创新技术的认可。未来双方计划联动医疗资源,构建睡眠生态,推动个性化睡眠解决方案落地。