蓝牙KNOB攻击说明
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
knobattack.com是KNOB蓝牙漏洞的官方披露网站,由发现该漏洞的国际学术研究团队维护。网站围绕KNOB Attack(蓝牙密钥协商漏洞,CVE编号CVE-2019-9506)展开,完整公开了该高危漏洞的发现过程、技术原理、受影响设备范围、行业协调披露经过,以及所有相关技术资源,是该漏洞最权威的信息来源。
网站的核心内容围绕漏洞的全维度信息展开:首先清晰解释了漏洞原理——蓝牙标准的加密密钥协商协议未保护协商过程完整性,攻击者可强制设备将加密密钥熵压低至1字节,进而在实时场景下暴力破解密钥,实现窃听、篡改已配对蓝牙设备的通信内容。网站公开了研究团队的测试结果:共测试了Broadcom、Qualcomm、Apple、Intel、Chicony等厂商的17款蓝牙芯片对应24台设备,所有测试设备均存在该漏洞。
此外,网站汇总了各大厂商、标准组织的修复链接,包括蓝牙SIG的修正说明、苹果、微软、华为、Linux发行版等的修复公告,同时开放了USENIX Security 2019的演讲视频、研究论文、演示幻灯片,以及GitHub上的攻击验证PoC代码,供研究人员复现测试。
优点方面,作为漏洞发现团队的官方站点,所有信息第一手权威准确,所有技术资源完全免费开放,无论研究人员还是普通用户都能快速获取所需信息,受影响范围整理清晰,普通用户也能简单判断自己的设备是否需要更新修复。
局限性方面,网站仅承担漏洞披露与资源汇总功能,不提供面向普通用户的一键检测工具,也不提供厂商修复方案,且漏洞披露于2019年,网站没有持续更新后续厂商修复的最新状态。
经实测,该网站不需要代理即可在中国直接访问,页面结构简单,加载速度快,移动端也可正常浏览。
该网站适合网络安全研究人员研究蓝牙协议安全缺陷、蓝牙设备厂商的安全团队验证漏洞与修复方案、信息安全从业者做安全案例学习,也适合普通用户查询自己未更新的蓝牙设备是否存在该漏洞风险。
本测评基于公开资料整理,不构成购买建议,请以 knobattack.com 官网实际信息为准。
安全研究说明站,可学习蓝牙漏洞原理。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。