Luka w® Bluetooth i negocjacji

Dokumentacja

Informacje o produkcie i dokumentacja

000055198

16-07-2021

Badacze bezpieczeństwa odkryli lukę w technologii Bluetooth® Key Negotiation to the CERT Coordination Center and Bluetooth® supplier industry. 

Nowo przeprowadzone badania na temat podatności na zagrożenia dla całej branży przez naukowców z University of Cambridge zostaną publicznie ujawnione na sympozjum USENIX Security, które ma miejsce w dniach 14-16 sierpnia 2019 r. Badanie to określa się mianem "luki w zabezpieczeniach Bluetooth® key negotiation", lub "ENCRYPTION". Dotyczy to całej branży luki w zabezpieczeniach, która wpływa na negocjację klucza szyfrowania technologii Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR). Ta luka nie ma wpływu na technologię Bluetooth® Low Energy (BLE). Produkty Intel, które obsługują technologię Bluetooth BR/EDR, należą do tych, na które wpłynęło to w całej branży. Nasze oczekiwania są takie, że czynniki ograniczające tę lukę zostały już udostępnione (przez dostawców systemu operacyjnego).

Jako członek grupy ds. specjalnych zainteresowań Bluetooth, ściśle współpracujemy z SIG i innymi kluczowymi członkami SIG w celu opracowania czynników ograniczających zagrożenia. Ochrona klientów i pomoc w zapewnianiu bezpieczeństwa naszych produktów ma dla firmy Intel priorytet.

Produkty, których dotyczy problem:

  • Intel® Wireless-AC (seria 3000, 7000, 8000, 9000 serii)
  • Produkty Intel® Wi-Fi 6 (AX200, AX201)
  • Intel® Wireless Gigabit (seria 17000, 18000)
  • Procesor Intel® Atom z serii x3-C3200

Firma Intel zaleca użytkownikom końcowym i administratorom systemów stosowanie aktualizacji w dostępnych przez nich aktualizacjach oraz stosowanie ogólnie najlepszych praktyk bezpieczeństwa.

Pytania i odpowiedzi

Q1. Czym jest luka w zabezpieczeniach?
Podczas kluczowej procedury negocjacji w sprawie technologii Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) odkryto nową lukę w zabezpieczeniach. Osoba atakująca mająca zbliżenie fizyczne (zwykle w odległości 30 metrów) lub zasięgu wzroku może uzyskać nieautoryzowany dostęp przez sąsiednią sieć i przechwycić ruch, który ma na celu wysyłanie podszyte wiadomości negocjacji pomiędzy dwoma podatnymi na zagrożenia urządzeniami Bluetooth.

II kw. Jakie są konsekwencje, jeśli z powodu tego usterki urządzenie z obsługą technologii Bluetooth zostanie naruszone?
Może to skutkować ujawnieniem informacji, podniesieniem poziomu uprawnień i/lub odmowę usługi. Na przykład zestawy słuchawkowe lub klawiatury Bluetooth mogą przechwytywać lub zmieniać dane.

III kw. Czy lukę w zabezpieczeniach można wykorzystać, jeśli tylko jedno z połączonych z siecią urządzeń jest podatne na zagrożenia?
Nr. Oba urządzenia muszą być podatne na zagrożenia. Jeśli co najmniej jeden (lub oba) urządzenia nie jest podatny na zagrożenia, atak podczas kluczowej negocjacji nie powiedzie się.

IV kw. Jak firma Intel radzi sobie z tym luką w® Bluetooth?
Jest to problem ze specyfikacjami branżowymi. Firma Intel współpracuje z innymi członkami grupy Bluetooth Special Interest Group (SIG) w celu wzmocnienia specyfikacji bluetooth core.

P5. Jakie jest oczekiwane zagrożenie dla tego luki w zabezpieczeniach?
Firma Bluetooth SIG pracuje nad aktualizacją specyfikacji BT, aby rozwiązać ten problem. Dostawcy urządzeń z systemem operacyjnym i bluetooth już pracują nad ich rozwiązaniami.

I kw. Kiedy te czynniki ograniczające zagrożenia będą gotowe?
Firma Intel nie komentuje w imieniu stron trzecich, prosimy o kontakt ze swoim systemem operacyjnym lub dostawcą urządzenia. Firma Intel już publicznie dostępnych czynników ograniczających ryzyko dla stosu BlueZ. BlueZ jest oficjalną stosem protokołu Bluetooth w systemie Linux i zapewnia obsługę podstawowych warstw i protokołów Bluetooth. Obsługę BlueZ można znaleźć w wielu dystrybucjach Linuxa i jest ogólnie kompatybilny z dowolnym systemem Linux na rynku. Przyjęcie ograniczenia BlueZ w poszczególnych dystrybucjach Linuxa może się różnić.

 

Więcej informacji można znaleźć na stronie:
Technologia Intel® Bluetooth® Security – rekomendacja dotyczące rozmiaru klucza szyfrowania
Informacje o strefie Intel® Developer's Zone

Aby uzyskać dodatkową pomoc, skontaktuj się z działem obsługi klienta firmy Intel, klikając poniższy link.