英特尔本周发布的新发现的蓝牙漏洞有可能让附近的黑客未经授权访问设备,拦截流量并在两个易受攻击的蓝牙设备之间发送伪造的配对消息 - - 蓝牙(R)配对中的漏洞可能允许具有物理接近度(30米内)的攻击者通过相邻网络获得未经授权的访问,拦截流量并在两个易受攻击的蓝牙(R)设备之间发送伪造的配对消息。这可能导致信息泄露,特权提升和/或拒绝服务。
加密错误会影响 Apple,Broadcom,Intel,Qualcomm 以及其他硬件供应商的蓝牙实施和操作系统驱动程序。
出现此错误是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确地说,配对设备不能充分验证用于在 Diffie-Hellman 密钥交换期间生成公钥的椭圆曲线参数。
这导致配对率下降,可能会导致远程攻击者获得设备使用的加密密钥并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。
蓝牙和蓝牙 LE 都受到影响
蓝牙标准的“安全简单配对”过程和蓝牙 LE 的“安全连接”配对过程都会受到影响。
来自以色列理工学院的两位科学家 Lior Neumann 和 Eli Biham 发现了这个漏洞,被追踪为事件 CVE-2018-5383。
CERT / CC 昨晚发布了一份安全通报,其中包含以下针对此漏洞的说明:
一些大厂商受到影响
Apple,Broadcom,英特尔和高通公司已确认蓝牙实施和操作系统驱动程序受到影响。Apple,Broadcom 和英特尔已经针对该漏洞发布了修复程序。高通发言人通过电子邮件告诉Bleeping Computer 他们也部署了修复程序。
微软称其设备不受影响。CERT / CC 专家无法确定 Android,Google 设备或 Linux 内核是否受到影响。
负责监督蓝牙标准发展的蓝牙特别兴趣小组(SIG)发布了一份有关漏洞的声明。
该组织表示,它现已更新官方蓝牙规范,要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数。
研究人员和蓝牙技术联盟表示,他们并未发现可能使用此漏洞的任何额外攻击。
CVE-2018-5383 的更新应该是 OS 更新或驱动程序更新(用于台式机,笔记本电脑和智能手机)或固件更新(在物联网/智能设备的情况下)。