黑色海岸线论坛 - Powered by Discuz! Board

标题: 安全功能成摆设新的蓝牙攻击方法被发现 [打印本页]

作者: 所谓伊人 时间: 2005-6-10 08:03 标题: 安全功能成摆设新的蓝牙攻击方法被发现

计世网消息二名安全研究人员表示，他们已经发现了一种技术，即使手机的安全功能处于开启状态，也能够控制蓝牙手机。
　　这一技术是安全厂商@Stake的怀特豪斯去年公布的一项技术的具体实现，它使得使用专用设备的黑客能够在无需通过验证的情况下与蓝牙手机相连。一旦建立连接后，黑客就能够在被攻击的手机上打电话，窃取数据或者截获手机与PC等其它设备之间传输的数据。因这一缺陷的存在，一些安全厂商建议金融交易人员避免使用蓝牙手机。
　　最初的方法要求黑客对二台蓝牙设备间最初的连接过程(即所谓的配对)进行监听，但新的攻击方法却迫使二台设备重复连接过程，使黑客能够监听和判断用于保护连接的PIN码。
　　在蓝牙技术中已经出现了多个安全缺陷，但大多数的攻击的前提条件都是拙劣的蓝牙安全技术实现，或者蓝牙设备处于“可发现”状态。相比之下，怀特豪斯的方法可以攻击开启了安全功能的蓝牙手机。
　　怀特豪斯的攻击方法要实施起来相当困难，因为它要求黑客在配对期间窃取一些信息。黑客可以从这些数据中发现PIN码，所需要的时间长短取决于PIN码的位数━━对于4位的PIN码需要1秒钟时间。
　　伍尔和沙克德的攻击方法则向前推进了一步，提出了3种迫使重复配对过程的方法。利用配对过程中交换的信息，研究人员能够在0.06-0.3秒钟的时间内判断出4位的PIN码。例如，用户可能被要求重新输入PIN码以连接无线耳机。一旦二台蓝牙设备重新连接后，在大多数情况下黑客都能够简便地破获PIN码。由于这样的再配对过程属于蓝牙技术标准的一部分，许多用户都会被这种攻击方法所欺骗。事实上，许多蓝牙设备都有这样一种模式，在每次连接时要求用户重新输入他们的PIN码。
　　伍尔和沙克德建议用户尽可能地不要输入他们的配对PIN码，尤其是在公共场所。据怀特豪斯称，利用较长的PIN码也有助于提高安全性，要破获6位的PIN码需要10秒钟的时间，破获10位的PIN码就要求数周的时间。但有些用户可能发现他们别无选择，因为许多设备只支持4位的PIN码。

作者: 黑色叶子 时间: 2005-6-10 09:05 标题: 安全功能成摆设新的蓝牙攻击方法被发现

如果世界上没有破坏,只有很多人都去为完善奋斗,是多么的好
做安全的人如果当初做过黑客就会后悔
安全比黑客难做多了

作者: woshihaike 时间: 2005-6-10 09:30 标题: 安全功能成摆设新的蓝牙攻击方法被发现

坛主最后一句有道理，前面的一句，偶不赞同．如果没做过黑客的话．那都不熟悉黑客的常规攻击方法，还谈什么安全维护啊，所以做黑客是必然的，再说黑客的定义好象不是那么坏把，用黑海的话来说至少黑客可是侠义的化身啊．．．．难道侠义的精神也要质疑吗？？
是不是我跟不上时代了，还是这个世界变化的太快了啊．．

作者: 绿茶之星 时间: 2005-6-10 18:17 标题: 安全功能成摆设新的蓝牙攻击方法被发现

引用
是不是我跟不上时代了，还是这个世界变化的太快了啊．．
我想，是后者。

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)