藍牙 LE ( Bluetooth Low Energy 、 BLE )是藍牙技術當中作為提供省電、高安全性的應用,尤其在加入 Mesh 網狀網路技術後,亦被視為物聯網重要技術;不過根據網路安全公司 NCC Group (不是台灣 NCC )公布,藍牙 LE 技術有安全性的疑慮,可能會導致駭客攻擊,尤其對使用藍牙 LE 技術的智慧家庭門鎖、智慧汽車、筆電甚至資產管理造成威脅。 NCC Group 強調在公布這項問題前已經通知開發者與藍牙聯盟,目前正積極找尋解決辦法。
▲此次的漏洞肇因於藍牙 LE 的趨近驗證被使用在非預期的領域所致
根據 NCC Group 的報告,藉由自鏈路層中繼的頻段進行攻擊,即可突破藍牙的趨近身分驗證功能進行攻擊,並強調這項漏洞不是光靠軟體 Patch 即可修正,但也不是藍牙規範導致的錯誤,而是這類將藍牙 LE 的趨近驗證作為藍牙鑰匙應用的模式超出原本規劃的功能,導致產生這次被發現的漏洞,目前初步的建議是使藍牙 LE 在不必要時關閉以及禁止沒有明確要求認證的解鎖功能。
