据E安全9月18日消息，美国普渡大学研究人员表示，全球数十亿智能手机、平板电脑和物联网设备正面临“BLESA”（Bluetooth Low Energy Spoofing Attack）漏洞的攻击风险。该漏洞来源于“低功耗蓝牙”（Bluetooth Low Energy）协议，在正常情况下，两台BLE设备在重新连接后应该会检查彼此的密钥。但普渡大学研究人员发现，官方的BLE规范未对重新连接的过程有充足的描述，因此存在以下问题：设备重新连接期间的身份验证是可选的，而不是强制的；如果用户的设备未能强制物联网设备对所通信的数据进行身份认证，则可能会绕过认证。鉴于此，在重连期间，BLE设备附近的攻击者可以绕过重新连接验证，并向BLE设备发送欺骗数据，诱导使用者和自动化流程做出错误决定。虽然厂商可以通过发布补丁来修复漏洞，但研究团队认为受该漏洞影响的设备数量有数十亿，补丁难以完全覆盖。其中，有一些早期的设备并未内置更新机制，这意味着这些设备将永远无法修补BLESA漏洞。
https://mp.weixin.qq.com/s?__biz=MzI4MjA1MzkyNA==&mid=2655311053&idx=1&sn=dd57d95829b91c5f80885b6aa45300be&chksm=f02fa886c7582190c119a0dcfba07598def271e2c19667980ba14602dcc13c95a411d2efe32d&scene=126&sessionid=1600408915&key=92bd8fadcb6a4858c294ad45e586484ad0449072b65efba09ab97b2959559139ac983ce3d3603e6740c2a0e4473f548e0cb950397ada2938b2674a401f7daa0613d7eddf87cde94461e4c999686603c776dae0f3ebe86f5043ba1c524c4160a5636510d42f083cbc7fe8eca773284d9fd5642c7bc3b9165d3a0ccd8d7bbcaab9&ascene=1&uin=MTYzNzA5MDc4OQ%3D%3D&devicetype=Windows+10+x64&version=62090529&lang=zh_CN&exportkey=Ay3aaDTkAUO0pqxEEBd0G38%3D&pass_ticket=lLSGgHWU9lwcaJ6gA%2FY8CVoXF1Mp%2Bvqb7swq6QQ52EZ1jym97wPFoSaWFyIBkKsO&wx_header=0