托最新蓝牙漏洞的“福”，我险些把小电影和账户密码亲手给黑客( 四 )_：托最新蓝牙漏洞的“福”

1、这两种设备都需要蓝牙BR/EDR。

2、在设备建立连接时，攻击者需要在设备的范围内。

3、攻击设备需要在两个设备之间拦截、操作和重新传输密钥长度协商消息，同时还需要阻止来自这两个设备的传输，所有这些都需要在很短的时间内完成。

4、需要成功地缩短加密密钥，然后强制破解密钥。

5、攻击者需要在每次设备配对时重复此攻击。

解决办法——增加密钥长度

看到这里，想必各位也都脑补出了解决方案。没错，就是加强蓝牙BR/EDR设备之间的密钥安全性。

宅客频道得知，为了解决这个漏洞，蓝牙技术联盟更新了蓝牙核心规范，建议BR/EDR连接的最小加密密钥长度为7字节并在蓝牙认证程序中加入对这个新建议的测试。此外，联盟也强烈建议产品开发人员更新现有的解决方案，以强制BR/EDR连接的最小加密密钥长度为7字节。

另一边，针对KNOB漏洞，微软昨日发布了一个名为“CVE-2019-9506 |蓝牙漏洞密钥协商”的更新，该更新将通过强制执行“默认的7-八位最小密钥长度，以加强密钥强度”的脚本功能来缓解该漏洞。

托最新蓝牙漏洞的“福”，我险些把小电影和账户密码亲手给黑客( 四 )