安全专家一直在抱怨:复杂度就是安全的敌人。但蓝牙规范的设计者们显然没有对此给予足够的重视。
蓝牙是短距离连接设备的无线通信协议,手机、无线扬声器、智能手表、打印机及一系列电器中均有使用。但在加州帕罗奥图市的Armis物联网安全公司看来,蓝牙协议太过复杂。WiFi规范的描述文档有450页,蓝牙规范——2800多页!该规范的复杂性,让研究人员无法彻底审查其各种实现,留下一堆漏洞。
该公司发布了一份文档用以描述被称为BlueBorne的一组蓝牙协议漏洞。文档里写道:“规范的复杂混乱,导致蓝牙标准的不同实现中出现了多个连环缺陷。”
Armis共同创始人兼CTO纳迪尔·伊斯雷尔表示,BlueBorne是为主流厂商常用蓝牙技术栈中发现的8个漏洞的命名。伊斯雷尔称,这8个蓝牙相关漏洞,估计影响到53亿台安卓、iOS、Linux和Windows设备,这8个蓝牙漏洞包括:
- Linux内核RCE(远程代码执行)漏洞——CVE-2017-1000251
- Linux蓝牙栈(BlueZ)信息泄露漏洞——CVE-2017-1000250
- 安卓信息泄露漏洞——CVE-2017-0785
- 安卓RCE漏洞——CVE-2017-0781
- 安卓RCE漏洞——CVE-2017-0782
- 安卓蓝牙Pineapple——逻辑缺陷CVE-2017-0783
- Windows蓝牙Pineapple ——逻辑缺陷CVE-2017-8628
- 苹果低功耗音频协议RCE漏洞——CVE-2017-14315
仅仅打开蓝牙,就会让你陷入风险。
然而,蓝牙往往默认开启,或者开了就不关了。而且,打开蓝牙的设备,用网络嗅探工具可以很容易地找出来,甚至设置为“不可发现”也会被找到。这就成问题了——鉴于蓝牙技术栈各个部分中爆发的漏洞:L2CAP、BlueZ、SDP、SMP、BNEP、PAN Profiles,还有苹果的专利LEAP。
今年4月,Armis将这些漏洞提交给了苹果、谷歌、Linux维护者和微软。9月12号的声明指出了共同商定的协同披露日期,只除了一个例外:三星。三星开发了基于Linux的泰泽(Tizen)操作系统,且其产品广泛使用安卓。Armis在3个不同场合试图联系三星商讨漏洞事宜,但三星从未给过回复。
Armis研究主管本·塞里,为三星的全无反应提出了一个可能的解释:该公司只是接受谷歌和Linux维护者发布补丁的一家下游厂商,他们对安全问题的反应受二者的影响。
所有安卓手机、平板和可穿戴设备,除了只使用低功耗蓝牙的那些,都可能受到4个安卓漏洞的影响。谷歌在8月7号向其合作伙伴发布了一个补丁,作为其9月安全更新和安卓6.0(棉花糖)及7.0(牛轧糖)公告的一部分。然而,其合作伙伴何时分发补丁,还尚未可知。
塞里承认,某些安卓厂商可能在部署补丁上反应迟钝。“我们很关注此事,我们试图让此事尽可能地协调进行。”
下面这段视频,展示了谷歌Pixel是怎么被黑的:
Armis还在谷歌Play提供了一款App,供人测试安卓设备是否有风险。
运行iOS9.3.5及更早版本的所有iPhone、iPad和 iPod Touch,以及运行7.2.2或更早版本的AppleTV设备,可能对iOS远程代码执行漏洞毫无防备。运行 iOS 10 及以后版本的设备不受影响。
运行BlueZ的Linux设备受信息泄露漏洞影响,而2011年10月发布的3.3-rc1版本安卓系统,则受远程代码执行漏洞影响。潜在的带漏洞产品中,三星 Gear S3 手表、Smart TV 和 Family Hub 设备榜上有名。
Windows Vista 及以后推出的Windows版本都受 “蓝牙Pineapple”漏洞影响——可用于进行中间人攻击。
9月12日,微软发布了其惯例的周二更新,包括对一个已部署蓝牙修复的通知——据塞里称是在7月就在无任何公告的情况下发布的,为了给其他厂商留出响应时间。
鉴于这其中某些漏洞已经在蓝牙里存在了10年之久,伊斯雷尔称:“我们确实害怕这些漏洞在某种程度上早已被某些黑客发现并利用了。”
不过,他也表示,自己并没有发现对这些漏洞的利用程序。
我们真的鼓励研究人员和安全专家学习这些漏洞是如何被发现的,并在我们尚未研究的其他技术栈中找出漏洞。
完整论文:
http://go.armis.com/hubfs/BlueBorne%20Technical%20White%20Paper.pdf
相关阅读
