许多消费者电子设备都具有包含了蓝牙、WiFi和LTE组件的SoC芯片，每个组件都有自己特定的安全实现。但这些组件一般都共享相同的资源，比如天线和无线频谱。资源共享的目的是为了让SoC耗能高低，在通信中能够实现更高的吞吐量和更低的延迟。

德国达姆施塔特大学研究人员近日发表论文发现通过使用这些共享资源作为桥梁可以发起跨无线芯片边界的权限提升攻击，实现提取密码和操纵WiFi芯片的流量，此外还可以实现代码执行、内存读取、DoS攻击等。

谷歌Nexus 5的资源共享

框架和协议爆多个安全漏洞

为利用这些漏洞，研究人员首先在蓝牙或WiFi芯片上实现代码执行。过去已经爆出了许多影响蓝牙和WiFi安全的远程代码执行漏洞，因此这一步很容易实现。在设备的一个芯片上实现代码执行后，就可以利用共享的内存资源来向设备中的其他芯片发起攻击。

在论文中，研究人员详细解释了如何发起OTA DoS攻击、代码执行、网络密码提取、读取芯片集中的敏感数据等。

漏洞CVE编号

研究人员发现的漏洞已被分配了近10个CVE编号：

CVE-2020-10368: WiFi 未加密数据泄露（架构漏洞）

CVE-2020-10367: Wi-Fi代码执行漏洞（架构漏洞）

CVE- 2019-15063: Wi-Fi DoS攻击漏洞（协议漏洞）

CVE-2020-10370: 蓝牙DoS攻击漏洞（协议漏洞）

CVE-2020-10369: 蓝牙数据泄露漏洞（协议漏洞）

CVE-2020-29531: WiFi DoS攻击漏洞（协议漏洞）

CVE-2020-29533: WiFi数据泄露漏洞（协议漏洞）

CVE-2020-29532: 蓝牙DoS攻击漏洞（协议漏洞）

CVE-2020-29530: 蓝牙数据泄露漏洞（协议漏洞）

其中部分漏洞只能通过新版本的硬件来修复，无法通过固件更新来修复。比如，依赖物理内存共享的漏洞无法通过任意形式的安全更新来修复。

漏洞影响和缓解措施

研究人员分析了Broadcom、Silicon Labs和Cypress的芯片，相关芯片应用于数十亿的电子设备中。所有漏洞都提交了芯片制造商，其中部分漏洞已经发布了安全更新。

受CVE-2020-10368和CVE-2020-10367漏洞影响的设备

研究人员在论文中指出，修复这些漏洞的过程非常缓慢且不充分，其中攻击中大部分最危险的部分仍未被修复。

比如，通过蓝牙芯片发起的OTA攻击当前仍然没有修复。只是从Bluetooth daemon到蓝牙芯片的接口被加固了，而非可以发现蓝牙芯片→WiFi 芯片代码执行的共享RAM接口。

Bleeping Computer研究人员建议用户遵循以下保护措施：

删除非必要的蓝牙设备配对；

移除设置中未使用的WiFi网络；

在公共场所使用数据网络而非WiFi网络；

在补丁可用时，尽快安装补丁。

完整论文参见：https://arxiv.org/pdf/2112.05719.pdf

参考及来源：https://www.bleepingcomputer.com/news/security/bugs-in-billions-of-wifi-bluetooth-chips-allow-password-data-theft/