加密错误会影响Apple,Broadcom,Intel,Qualcomm以及其他硬件供应商的蓝牙实施和操作系统驱动程序。
出现此错误是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确地说,配对设备不能充分验证用于在Diffie-Hellman密钥交换期间生成公钥的椭圆曲线参数。
这导致配对率下降,可能会导致远程攻击者获得设备使用的加密密钥并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。
蓝牙标准的“安全简单配对”过程和蓝牙LE的“安全连接”配对过程都会受到影响。
来自以色列理工学院的两位科学家Lior Neumann和Eli Biham发现了这个漏洞,被追踪为事件CVE-2018-5383。
CERT / CC 昨晚发布了一份安全通报,其中包含以下针对此漏洞的说明:
Apple,Broadcom,英特尔和高通公司已确认蓝牙实施和操作系统驱动程序受到影响。Apple,Broadcom和英特尔已经针对该漏洞发布了修复程序。高通发言人通过电子邮件告诉Bleeping Computer他们也部署了修复程序。
微软称其设备不受影响。CERT / CC专家无法确定Android,Google设备或Linux内核是否受到影响。
负责监督蓝牙标准发展的蓝牙特别兴趣小组(SIG)发布了一份有关漏洞的声明。
该组织表示,它现已更新官方蓝牙规范,要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数。
研究人员和蓝牙技术联盟表示,他们并未发现可能使用此漏洞的任何额外攻击。
CVE-2018-5383的更新应该是OS更新或驱动程序更新(用于台式机,笔记本电脑和智能手机)或固件更新(在物联网/智能设备的情况下)。
领取专属 10元无门槛券
私享最新 技术干货