负责无线通信技术标准的官方机构蓝牙协会（Bluetooth SIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与

负责无线通信技术标准的官方机构蓝牙协会（BluetoothSIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与你的设备强行配对。蓝牙连接的工作原理是两台设备都必须同意连接。一个发送请求，另一个必须接受它，并通过交换公共密钥来验证设备的身份，并为连接生成加密密钥，确保连接是安全的。蓝牙安全漏洞意味着攻击者可能会干扰加密设置，迫使加密密钥更短，这样就很容易地尝试所有可能的加密密钥来建立连接。研究人员发现，攻击设备有可能干扰用于两个设备之间的BR/EDR连接上设置加密的过程，从而减少使用的加密密钥的长度。此外，由于并非所有蓝牙规范都给定了明确的加密密钥的最小长度，一些安全程度较低的蓝牙产品就更容易受到攻击。攻击者可成功地将加密密钥设置为更短的长度，然从而轻易地破解密钥，操控目标手机或操纵流量。蓝牙协会在蓝牙规范中要求相关厂商更新他们的蓝牙设备，以确保加密密钥至少有7个八位元。由于欺骗连接可用的窗口时间很短，所以只要保证密钥长度达到规范标准，基本足以防范此类攻击。苹果在其设备的最新更新中已经实现了这一点，确保你的系统已经更新到最新的公共版本即可免受这种形式的攻击。

蓝牙曝底层安全漏洞，数十亿设备受影响

蓝牙曝底层安全漏洞，数十亿设备受影响Eurecom的研究人员近期分享了六种新型攻击方式，统称为"BLUFFS"，这些攻击方式能够破坏蓝牙会话的保密性，使设备容易受到冒充和中间人攻击(MitM)。攻击发现者DanieleAntonioli解释道，"BLUFFS"利用了蓝牙标准中两个以前未知的漏洞，这些漏洞与会话密钥的派生方式以及交换数据的解密过程有关。这些漏洞并非受限于特定的硬件或软件配置，而是系统性的问题，也就是说它们对蓝牙技术产生了根本性的影响。该漏洞被标识为CVE-2023-24023，影响范围包括蓝牙4.2版到5.4版。考虑到蓝牙作为一种广泛应用的成熟无线通信标准，以及受到这些漏洞影响的版本，"BLUFFS"可能对数十亿设备构成威胁，包括笔记本电脑、智能手机和其他移动设备。来源：；投稿：@ZaiHuaBot频道：@TestFlightCN

蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

蓝牙身份验证漏洞可让黑客控制Apple、Android和Linux设备无人机技术公司SkySafe的软件工程师表示，存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到Apple、Android和Linux设备并注入击键来运行任意命令。马克·纽林(MarcNewlin)发现了该漏洞并将其报告给了公司，他表示，该漏洞编号为CVE-2023-45866，不需要任何特殊硬件即可利用，并且可以使用常规蓝牙适配器从Linux机器上对Apple、Google、Canonical和蓝牙SIG发起攻击。该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作，只要他们不需要密码或生物识别身份验证。在周三发布的中，bug猎人这样描述了该安全漏洞：“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制，并且特定于实现的错误将其暴露给攻击者。”——

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取

首次发现，用于保护SSH连接的加密密钥在一种新的攻击中被盗取新的研究称，在计算机到服务器SSH通信中，用于保护数据的密码密钥存在漏洞，可能被攻击者利用。研究人员发现，在建立连接时，由于自然发生的计算错误，约10亿个SSH签名中的每百万个签名会暴露主机的私钥。只要一个内存位翻转的小错误，就能暴露私人密钥。这个问题只影响使用RSA密码算法的密钥，并且令人惊讶的是，大多数SSH软件在发送签名之前已经部署了反制措施。然而，研究人员认为其他协议也应该采取类似的保护措施。他们建议审查和更新SSH实现的安全性，并推荐使用更现代和安全的密码算法。参考：来源：Viagoddaneel投稿：@ZaiHuaBot频道：@TestFlightCN

谷歌发布新款 Titan USB 安全密钥：不使用蓝牙，转向 NFC

谷歌发布新款TitanUSB安全密钥：不使用蓝牙，转向NFC谷歌此前推出过名为Titan的USB安全密钥，使用硬件方式进行验证，通过蓝牙方式与手机连接。但是在2019年，谷歌发现了Titan安全密钥中的一个蓝牙漏洞，因此谷歌召回了这款设备。8月9日，谷歌推出了新版Titan，放弃使用蓝牙方式，转而使用NFC的方式验证。该设备提供USB-A、USB-C接口版本，只需放在手机背面触碰后再插入电脑，即可安全登陆谷歌账号。谷歌表示，由于目前包括苹果iPhone在内的大量智能手机均具备NFC功能，因转而使用NFC进场通信的方式连接。价格方面，新款Titan安全密钥USB-A版本售价30美元，USBType-C版本售价35美元。（，）之前也是有USB-A+NFC版的，这次没看出有什么改进，似乎也没增加FIDO2的支持。价格偏高，不如直接买代工厂“飞天诚信”的密钥

Chrome 将通过新的网络标准打击 Cookie 劫持问题

Chrome将通过新的网络标准打击Cookie劫持问题当前大量恶意软件正通过窃取浏览器Cookie来劫持登录会话获取网络帐户访问权限，针对该问题谷歌Chrome团队正在提议使用“设备绑定会话凭证()”来应对这种情况。方法是“将身份认证会话绑定到设备上”，并使用设备本地的公私钥配对的方式”来对抗cookie劫持。通过使用受信平台模块(TPM)或基于软件的方案将私钥存储在操作系统中，从而使得私钥更难被导出。在用户隐私方面，“每个会话都由唯一的密钥支持，并且DBSC不允许站点将同一设备上不同会话的密钥关联起来。”DBSC项目的目标是成为“开放网络标准”，目前已经在ChromeBeta中针对一些谷歌帐户进行了测试，谷歌计划在今年年底前开展更大规模的试行。——，