根据上级单位网络安全预警,近日有关单位通报,国家信息安全漏洞共享平台收录了蓝牙协议中间人攻击漏洞,攻击者利用漏洞通过欺骗性的配对或绑定设备强制使用较短的加密密钥长度,破坏蓝牙设备会话的安全验证机制。

蓝牙(Bluetooth)是一种支持设备短距离通信的无线电通信协议,目前已成为全球通用的开放性技术规范,广泛应用于个人终端、车载娱乐、工业生产和医药医疗领域。蓝牙设备的有效传输距离一般小于10米,其通信质量易受障碍物的影响。此次漏洞发现位于目标设备有效蓝牙传输距离内的攻击者利用上述漏洞,通过捕获和伪造蓝牙会话数据包,可对目标会话发起中间人攻击(BLUFFS)。BLUFFS攻击能够破坏蓝牙配对设备的会话身份验证机制,通过使用欺骗性的配对或绑定设备强制使用较短的加密密钥长度,继而破坏蓝牙通信会话的保密性和完整性。

漏洞处置建议:建议蓝牙设备用户加强安全防范措施,开启蓝牙连接时注意周围的可疑设备,同时使用不小于7个字节长度的蓝牙通信密钥。

请各单位立即通报预警本部门教师和学生,并加强安全防范,进一步提高网络安全防范意识,若有网络安全事件发生请及时报告信息化建设管理处(工作电话:3818525538017887)。

网络安全和信息化领导小组办公室

信息化建设管理处     

2024223