新版公告

近期，网络安全领域的一份重要报告揭示了蓝牙连接协议中存在两项全新安全漏洞，这无疑对全球数十亿台搭载蓝牙4.2至5.4版本的设备构成了潜在威胁。受影响的设备范围广泛，从笔记本电脑、智能手机到各种移动设备，几乎覆盖了所有依赖蓝牙技术的现代电子产品。

安全专家Daniele Antonioli，来自Eurecom机构，详细阐述了这两项蓝牙标准漏洞的严重性。据其介绍，利用这些漏洞，攻击者能够开发出六种全新的攻击手段，统称为“BLUFFS”。这些攻击手段旨在破坏蓝牙通信过程中的数据保密性，甚至能模仿设备身份，执行中间人（MitM）攻击。

漏洞的核心问题在于蓝牙协议中的会话密钥生成机制，这些密钥负责保护数据传输的安全性。Eurecom已将这两起事件的安全追踪编号分别标注为CVE-2023-24023，它们影响着从2014年底发布蓝牙4.2版本直至2023年2月发布最新型号蓝牙5.4之间的所有版本。

蓝牙技术作为现代设备间的标配连接方式，其广泛应用导致了广泛的设备暴露于潜在安全风险之中。据估计，全球范围内有数十亿台设备可能受到此次安全漏洞的影响。

BLUFFS漏洞影响的范围涵盖了自2014年12月发布蓝牙4.2版本起，直到最新版本蓝牙5.4之间所有版本的蓝牙设备。

为应对这一挑战，蓝牙SIG（Special Interest Group），一个负责蓝牙标准开发与许可的非营利组织，已经接到了Eurecom的报告，并在其官方声明中提供了应对建议。建议用户避免使用密钥强度低于七位数的连接方式，选择“Security Mode 4 Level 4”以增强加密安全性，并在设备配对时启用“仅安全连接”模式，以进一步提升安全性。

安全警示与建议

面对蓝牙技术的广泛应用与安全漏洞的严峻挑战，用户应采取积极措施保护自己的设备免受潜在攻击。这包括但不限于：

• 更新固件：确保设备固件保持最新状态，以便及时修复已知漏洞。
• 加密强度：遵循蓝牙SIG的建议，选择更高强度的加密模式进行连接。
• 安全模式：在设备配对时，优先选择“仅安全连接”模式，以增加安全性。
• 定期审查：定期检查设备的安全设置和权限，确保它们符合最新的安全标准。

通过上述措施，用户可以在一定程度上减轻由BLUFFS漏洞带来的风险，保护个人数据和隐私安全。