去年9月研究人员发现BlueBorne蓝牙攻击漏洞,可让骇客在不配对或设定情况下骇入智能手机或电脑。而一年之后,安全公司发现全球仍然有20亿台装置仍然未修补漏洞。
BlueBorne是去年由Armis△Labs研究人员首先揭露。它是利用蓝牙协议漏洞进行的无线攻击手法,能让攻击者渗透及接管受害装置,进而执行远端程式码或发动中间人攻击,却无需配对或设定。不同于大部份攻击依赖网络连线,BlueBorne攻击可以空中散布,而且能绕过传统安全防护机制。任何支援蓝牙,包括Android、Linux、Windows、iOS等PC、手机及物联网装置等现代化装置都可能遭受影响,总计数量上看全球53亿台。
从去年起,该公司已经和多家软、硬件厂商,包括Google、三星、微软、联想及Amazon合作开发修补程式迄今这些装置中有2/3已经通过更新修补了BlueBorne攻击漏洞。例如通过和Amazon中央更新及Google△Project△Treble,1500万台Amazon△Echo和500万台Google△Home在去年11月时即已完成修补。不过剩下的20亿台装置仍然曝险。
Armis△Labs指出,未能修补的原因之一是企业安全工具透明度不足,让IT人员无从得知是否有属于员工或访客的未修补装置连上企业内网。但更大原因在于安全更新难以部署,尤其是Android和Linux。首先,并非Android装置并不支援Project△Treble,还有近10亿已经Android(包括Android△5.1或Android△6以前)及2.1亿台iOS(iOS△9.3.5以前)装置因为过了产品或支援生命周期而无法获得安全更新。此外,还有2亿台Windows及7.7亿台Linux装置未能修补,后者涵括伺服器、智慧手表、医疗器材和工业生产设备等种类,而这些物联装置更是容易沦为安全更新的孤儿。
研究人员提醒,BlueBorne△最可怕的不是它攻击的后果,而是愈来愈多可能被开采的蓝牙漏洞冒出来,但使用者却不知道。从去年9月以来,研究界陆续在iOS/watchOS/tvOS、Android△7、BMW△ConnectedDrive车联网系统及蓝牙协议中发现新漏洞或瑕疵。
研究人员相信,传统端防护、行动装置管理(MDM)、防火墙等网络安全产品皆无法遏止BlueBorne攻击,有效的防护需要发展新种安全产品以及不懈怠地分辨出蓝牙协议中的漏洞。
I 相关 / Other
示意图,与新闻事件无关。 图片来源: 微软 微软于本周二(9/11)的每月例行性修补中,修补了61个安全漏洞,当中有17个属于重大(Critical)漏洞,以及一个概念性验证攻击程式已经出炉的零时差漏洞CVE-2018-8440。C
示意图,与新闻事件无关。 Safari被爆有网址列欺骗(Address△Bar△Spoofing)漏洞未修补,可能害用户连上恶意网站。网址造假漏洞是一种理解竞争(race△condition)型态的漏洞,原因是浏览器允许JavaScript在网页
蔬菜价格应该是很多市民都会关注到的问题,因为每天的饮食生活当中,不可能缺少的就是蔬菜了,不过在前段时间因为天气的影响,在北京的叶类蔬菜价格上涨,现在随着天气的稳定,这北京菜价逐渐回落了,而且仍有下降空
现在Google扩展其Android企业推荐专案(Android△Enterprise△Recommended△program),把强固型装置(Rugged△Device)也纳入验证范围,目前已有Zebra、Honeywell以及Sonim等五家厂商通过验证,Google也正与松下等制
Android装置的无线广播暴露敏感资料,但Google只针对最新版作业系统修补
图片来源: Nightwatch△Cybersecurity博客 对于行动装置而言,无线网络的通讯,是连上网络最为普遍的方式之一,然而,连线过程所传递的附加资讯,却可能让有心人士能够更容易锁定下手目标,造成使用者的装置暴露在危