蓝牙的核心与Mesh规格含有7个安全漏洞，允许骇客冒充合法装置

蓝牙技术联盟（Bluetooth SIG）在24日揭露了7个有关蓝牙规格的安全漏洞，这些安全漏洞存在于Core及Mesh Profile规格中，将允许骇客冒充合法装置，波及Android开源专案、思科、Cradlepoint、英特尔、Microchip与红帽的相关产品。

Bluetooth Core与Bluetooth Mesh Profile都是用来定义各种，企图利用蓝牙进行连线的装置政策及技术需求的规格，在本周揭露的漏洞中，与Mesh Profile规格有关的为CVE-2020-26559、CVE-2020-26556、CVE-2020-26557与CVE-2020-26560；而CVE-2020-26555、CVE-2020-26558与另一个尚未具备编号的漏洞，则涉及Core规格。

根据卡内基梅隆大学CERT协调中心的说明，相关漏洞将可用来执行冒充攻击并揭露验证值（AuthValue），允许骇客在执行蓝牙配对时，假冒为合法装置。

这些漏洞同时波及了采用蓝牙规格的操作系统与硬件，其中，Android开源专案受到当中3个漏洞的影响，Google已准备借由下一次的Android安全更新修补；红帽至少受到两个漏洞的影响，尚未提出修补时程。

思科则说受到两个漏洞的影响，正在等待个别产品团队的回报以提供软件更新；专门开发云端无线边缘网络设备的Cradlepoint，以及英特尔亦受到两个漏洞的波及；美国微控制器与半导体制造商Microchip已确定其中的两个漏洞，影响该公司的部分蓝牙产品，并已订出修补计划。