8月14日，包括智能手机、笔记本电脑、智能物联网设备和工业设备在内的超过10亿台蓝牙设备，被发现易受一个被命名为CVE-2019-9506的高度严重漏洞攻击，该漏洞可能允许攻击者监视两台设备之间传输的数据。该漏洞被称为蓝牙密钥协商（Key Negotiation of Bluetooth, KNOB）攻击，可以让距离目标设备较近的远程攻击者拦截、监视或操纵两个配对设备之间的加密蓝牙通信。

研究人员发现，设备通过链路管理器协议（Link Manager Protocol，LMP）执行的熵协商既不加密也不经过身份验证，而且可以在空中被劫持或操纵。新发现的蓝牙漏洞可以让远程攻击者欺骗两个目标设备，让它们同意一个熵仅为1字节/八位字节的加密密钥，最终很容易强行使用协商好的加密密钥。一旦解密，攻击者可以顺势捕获通过蓝牙通信传输的加密消息，解密并注入有效的有效密文，所有这些都是实时的、隐秘的。

研究人员在昨天发布的报告中表示，已评估了来自英特尔、博通、苹果和高通等不同供应商的14多个蓝牙芯片上的KNOB攻击。除了苹果W1芯片接受（至少）7字节的熵外，所有的芯片都接受1字节的熵。为了减少KNOB攻击，蓝牙规范的维护人员强烈建议设备制造商和软件供应商强制要求BR/EDR连接的最小加密密钥长度为7字节。为了修补这个漏洞，许多受影响的供应商已经开始发布他们的操作系统、固件和软件的安全更新。