|
|
计世网消息 二名安全研究人员表示,他们已经发现了一种技术,即使手机的安全功能处于开启状态,也能够控制蓝牙手机。
这一技术是安全厂商@Stake的怀特豪斯去年公布的一项技术的具体实现,它使得使用专用设备的黑客能够在无需通过验证的情况下与蓝牙手机相连。一旦建立连接后,黑客就能够在被攻击的手机上打电话,窃取数据或者截获手机与PC等其它设备之间传输的数据。因这一缺陷的存在,一些安全厂商建议金融交易人员避免使用蓝牙手机。
最初的方法要求黑客对二台蓝牙设备间最初的连接过程(即所谓的配对)进行监听,但新的攻击方法却迫使二台设备重复连接过程,使黑客能够监听和判断用于保护连接的PIN码。
在蓝牙技术中已经出现了多个安全缺陷,但大多数的攻击的前提条件都是拙劣的蓝牙安全技术实现,或者蓝牙设备处于“可发现”状态。相比之下,怀特豪斯的方法可以攻击开启了安全功能的蓝牙手机。
怀特豪斯的攻击方法要实施起来相当困难,因为它要求黑客在配对期间窃取一些信息。黑客可以从这些数据中发现PIN码,所需要的时间长短取决于PIN码的位数━━对于4位的PIN码需要1秒钟时间。
伍尔和沙克德的攻击方法则向前推进了一步,提出了3种迫使重复配对过程的方法。利用配对过程中交换的信息,研究人员能够在0.06-0.3秒钟的时间内判断出4位的PIN码。例如,用户可能被要求重新输入PIN码以连接无线耳机。一旦二台蓝牙设备重新连接后,在大多数情况下黑客都能够简便地破获PIN码。由于这样的再配对过程属于蓝牙技术标准的一部分,许多用户都会被这种攻击方法所欺骗。事实上,许多蓝牙设备都有这样一种模式,在每次连接时要求用户重新输入他们的PIN码。
伍尔和沙克德建议用户尽可能地不要输入他们的配对PIN码,尤其是在公共场所。据怀特豪斯称,利用较长的PIN码也有助于提高安全性,要破获6位的PIN码需要10秒钟的时间,破获10位的PIN码就要求数周的时间。但有些用户可能发现他们别无选择,因为许多设备只支持4位的PIN码
|
|
窥视卡
雷达卡
发表于 2012-9-30 06:43:53
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
发表于 2012-10-3 11:28:10