11 月 30 日，網(wǎng)絡(luò)安全專家近日報告，發(fā)現(xiàn)藍牙連接協(xié)議中存在 2 個全新的安全漏洞，使用藍牙 4.2 至 5.4 版本的所有設(shè)備均存在被攻擊者劫持的風(fēng)險，影響自 2014 年年底至今的所有藍牙設(shè)備。

Eurecom 安全專家丹尼爾?安東尼奧利（Daniele Antonioli）解釋稱，利用這 2 個藍牙標準中的漏洞，目前已開發(fā)了 6 種類型的全新攻擊方式，統(tǒng)稱為“BLUFFS”，可以破壞藍牙會話的保密性，可以冒充設(shè)備或者執(zhí)行中間人（MitM）攻擊。

本次曝光的兩個漏洞，主要和藍牙協(xié)議中會話密鑰的派生方式有關(guān)，而這些密鑰負責(zé)解密交換中的數(shù)據(jù)。

目前這兩個漏洞的安全追蹤編號為 CVE-2023-24023，影響采用 4.2 至 5.4 版本的藍牙設(shè)備。

目前藍牙成為很多設(shè)備的標準配置，預(yù)估全球范圍內(nèi)，包括筆記本電腦、智能手機和其他移動設(shè)備在內(nèi)，會有數(shù)十億臺設(shè)備受到影響。

注：BLUFFS 影響 2014 年 12 月發(fā)布的藍牙 4.2 以及 2023 年 2 月發(fā)布的最新版本藍牙 5.4 之間的所有版本。

Bluetooth SIG（Special Interest Group）是負責(zé)監(jiān)督藍牙標準開發(fā)并負責(zé)該技術(shù)許可的非營利組織，已收到 Eurecom 的報告，并在其網(wǎng)站上發(fā)表了一份聲明。

該組織建議，拒絕使用低于七個 octets 的低密鑰強度連接，使用“Security Mode 4 Level 4”，以確保更高的加密強度級別，并在配對時以“僅安全連接”模式運行。