中国科学技术大学论坛

 找回密码
 注册(开放注册)
搜索
查看: 19201|回复: 0

中国科大在蓝牙协议方面发现重要安全漏洞

[复制链接]
发表于 2022-12-4 10:14:56 | 显示全部楼层 |阅读模式

近日,中国科学技术大学网络空间安全学院薛开平教授团队在移动设备蓝牙安全研究中取得重要进展。团队成员实现了在用户无感知、无交互、无需恶意程序配合的情况下,通过蓝牙协议漏洞对目标设备进行有效攻击。该项工作对保障移动设备的信息安全具有重要的现实意义。相关研究成果发表于网络安全领域顶级会议ACM Conference on Computer and Communications Security 2022 (CCS 2022)上,并获得大会的Best Paper Honorable Mention奖项。在研究过程中,此项研究所发现的蓝牙协议相关的7个高危漏洞、2个中危漏洞被国家信息安全漏洞共享平台(CNVD)定级并收录。

图1 会议获奖荣誉证书和9项原创漏洞证明

该项研究针对经典蓝牙协议进行安全性分析,首次发现蓝牙设备非固定角色等安全漏洞,结合已知蓝牙协议漏洞,逐次突破经典蓝牙认证、加密、授权等各项防御机制,实现在用户无感知无交互且无需恶意程序配合的情况下静默构建提权攻击链路,并利用该链路完成对目标设备的命令注入与信息窃取等攻击。此项研究在Android、iOS、iPadOS、macOS、HarmonyOS等主流操作系统的各类智能设备中进行了广泛的测试,并在所有被测设备中发现了相关漏洞并完成攻击流程。

图2 Blacktooth攻击示意图

图3 Blacktooth攻击流程

图4 在主流操作系统与厂商设备上的攻击测试结果

网络空间安全学院博士生艾明瑞是该论文的第一作者,网络空间安全学院薛开平教授是该论文的通讯作者,论文的共同作者还包括堪萨斯大学的我校校友罗勃教授、网络空间安全学院俞能海教授、孙启彬研究员、信息科学技术学院吴枫教授等。这项工作得到了国家自然科学基金以及中国科学院青年创新促进会优秀会员资助项目的支持。

ACM CCS与IEEE S&P、USENIX Security、NDSS并称为网络安全领域“四大顶级会议”,也是中国计算机学会(CCF)推荐的A类会议。ACM CCS至今已举办29届,拥有悠久的历史和极高的声誉,该会议收录的论文代表着系统和网络安全领域的最前沿学术研究成果,一直被视为相关领域研究的风向标,在业界具有广泛而深远的影响。该会议往届论文平均录用率约为18%。



您需要登录后才可以回帖 登录 | 注册(开放注册)

本版积分规则

手机访问本页请
扫描左边二维码
         本网站声明
本网站所有内容为网友上传,若存在版权问题或是相关责任请联系站长!
站长电话:0898-66661599    站长联系QQ:7123767   
         站长微信:7123767
请扫描右边二维码
www.jtche.com

小黑屋|手机版|Archiver|中国科学技术大学论坛 ( 琼ICP备10001196号-2 )

GMT+8, 2023-2-2 15:28 , Processed in 0.061381 second(s), 15 queries .

Powered by 校园招聘信息

© 2001-2020 中国科学技术大学论坛校园招聘

快速回复 返回顶部 返回列表