德仪蓝牙芯片存在严重安全漏洞广泛影响智能电子产品
以色列安全公司ARMIS最新发布的分析报告指出德州仪器生产的低功耗蓝牙芯片存在两个严重级别安全漏洞。
这些安全漏洞允许攻击者直接远程控制设备并入侵内网,比较糟糕的是该蓝牙芯片广泛应用于智能电子产品。
比如智能家居领域的智能电子锁以及医疗领域的胰岛素泵和心脏起搏器等,还有企业无线路由器也会使用到。
目前已经确定的包括思科旗下多款企业级无线路由器使用该芯片,思科公司目前正在忙着修复这些安全漏洞。
CVE-2018-16986号安全漏洞:
攻击者利用该安全漏洞可触发德仪低功耗蓝牙芯片的内存损坏,然后即可不需要身份验证允许黑客接管设备。
接着再利用无线路由器特制的广告包来利用该错误,比如攻击者可以在目标设备上运行恶意软件或者后门等。
当然攻击者已经具备完全控制设备的能力因此也可以轻松入侵企业内网,伺机偷窃潜在的机密数据和情报等。
CVE-2018-7080号安全漏洞:
安全公司认为该安全漏洞更像是个后门,漏洞位于德仪蓝牙芯片的固件更新模块用来自动下载新版本固件的。
该功能存在某个默认管理密码用来远程连接设备进行更新,并且固件更新同样是没有经过校验即可完成更新。
此问题德仪称并不是后门或者漏洞,因为德仪已经警告过此更新功能仅适用于开发测试不应该正式环境使用。