Luka w zabezpieczeniach dotycząca negocjacji klucza® Bluetooth

Dokumentacja

Informacje o produkcie i dokumentacja

000055198

19-10-2020

W zakresie bezpieczeństwa badacze zidentyfikowano lukę w zabezpieczeniach negocjacji klucza® Bluetooth w centrum koordynacji certyfikatów i przemyśle Bluetooth®. 

Nowe badania w oparciu o usterkę branżową dla naukowców komputerowych z University of Oxford zostaną publicznie ujawnione na USENIX Symposium bezpieczeństwa, które odbywają się z sierpnia 14-16, 2019. W odniesieniu do "usterki w zakresie negocjacji klucza Bluetooth®" lub "POKRĘTŁo" – szczegółowe informacje na temat całej branży, która ma wpływ na negocjacje klucza szyfrowania Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR). Ta luka w zabezpieczeniach nie ma wpływu na technologię Bluetooth® niski poziom energii (beli). Produkty Intel obsługujące technologię Bluetooth BR/EDR należą do tych, których dotyczy ta usterka w całej branży. Nasze życzenia oczekują, że czynniki ograniczające zagrożenie wynikające z tej usterki zostały już udostępnione (przez producentów systemu operacyjnego).

Jako członek grupy Specjalna grupa interesów Bluetooth ściśle współpracuje z identyfikatorem SIG i innymi członkami SIG w celu opracowania rozwiązań zaradczych. Ochrona naszych klientów i pomoc w zapewnieniu bezpieczeństwa naszych produktów to krytyczny priorytet dla firmy Intel.

Zagrożone produkty:

  • Produkty Intel® Wireless-AC (seria 3000, Seria 7000, Seria 8000, Seria 9000)
  • Produkty Intel® Wi-Fi 6 (AX200, AX201)
  • Produkty Intel® Wireless Gigabit (seria 17000, Seria 18000)
  • Procesory Intel® Atom x3-C3200

Firma Intel zaleca użytkownikom końcowym i administratorom systemów aktualizacje tak, jak są one dokonywane avaialble, oraz generalnie przestrzegać dobrych praktyk w zakresie bezpieczeństwa.

Q &

Q1. Jakie są luki w zabezpieczeniach?
Wykryto nową lukę w zabezpieczeniach w procedurze negocjacji klucza Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate). Osoba atakująca mająca fizyczny bliskość (zwykle w zakresie 30 metrów) lub linia wzroku może uzyskać nieautoryzowany dostęp za pośrednictwem sieci sąsiednich i przechwytywać ruch w celu wysłania sfałszowanych komunikatów negocjacji między dwoma zagrożonymi urządzeniami Bluetooth.

II kW. Jakie są konsekwencje, gdy urządzenie z obsługą funkcji Bluetooth uzyska kompromis o luce w zabezpieczeniach?
Może to spowodować ujawnienie informacji, podniesienie uprawnień i/lub odmowę usługi. Na przykład, zestawy słuchawkowe lub klawiatury mogą mieć swoje dane przechwycone lub zmienione.

III kwartale. Czy usterka może zostać wykorzystana w przypadku zagrożenia tylko jednym z dwóch podłączonych urządzeń?
Nr. Oba urządzenia powinny być podatne na zagrożenia. Jeśli jedno (lub oba) urządzeń nie są podatne na zagrożenia, atak w trakcie negocjacji klucza nie powiedzie się.

Opiera. Co robi firma Intel w celu rozwiązania tej luki w zabezpieczeniach Bluetooth®?
Jest to problem z specyfikacją branży. Firma Intel współpracuje z innymi członkami grupy Specjalna grupa interesów Bluetooth (SIG), aby wzmocnić specyfikację technologii Bluetooth Core.

Q5. Jakie jest oczekiwane ograniczenie w zakresie omawianej luki w zabezpieczeniach?
PODPIS Bluetooth pracuje nad aktualizacją specyfikacji BT, aby rozwiązać ten problem, oraz że dostawcy urządzeń z obsługą technologii Bluetooth już współpracują nad technologiami zaradczymi.

Q6. Kiedy te środki zaradcze będą gotowe?
Firma Intel nie komentowanie w imieniu stron trzecich, skontaktuje się z dostawcą systemu operacyjnego lub urządzenia. Intel przeprowadził już ograniczenie dla dostępnego na stosie BlueZów. BlueZ jest oficjalnym stosem protokołu Bluetooth dla systemu Linux i zapewnia obsługę głównych warstw i protokołów Bluetooth. Pomoc techniczną dla BlueZ można znaleźć w wielu dystrybucjach systemu Linux i zwykle jest ona zgodna z jakimkolwiek systemem Linux na rynku. Przyjęcie BlueZ w poszczególnych rozłożeniach systemu Linux może się różnić.

 

Dalsze dane dostępne pod adresem:
Zabezpieczenia® Intel® Bluetooth – zalecenia dotyczące rozmiaru klucza szyfrowania
Szczegółowe informacje na temat strefy Intel® Developer

Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z działem pomocy technicznej firmy Intel, klikając poniższe łącze.