Luka w zabezpieczeniach kluczowych negocjacji Bluetooth®
Badacze bezpieczeństwa zidentyfikowali lukę w zabezpieczeniach w Bluetooth® kluczowych negocjacjach w centrum CERT Co dodatkowo w branży dostawców Bluetooth®.
Niedawno przeprowadzone badania nad luką w zabezpieczeniach w całej branży przeprowadzone przez informatyków z University of Oxford zostaną publicznie ujawnione na Sympozjum bezpieczeństwa USENIX, które odbędzie się w dniach 14-16 sierpnia 2019 r. Badanie to określane jest mianem "luki w zabezpieczeniach kluczowych negocjacji Bluetooth®" lub "POKRĘTŁO". W tym badaniu opisano ogólnobranżową lukę w zabezpieczeniach, która wpływa na negocjacje klucza szyfrowania w sprawie Bluetooth® wskaźnika podstawowego / zwiększonego wskaźnika danych (BR/EDR). Ta luka w zabezpieczeniach nie wpływa na Bluetooth® Low Energy (BLE). Produkty Intel, które obsługują Bluetooth BR/EDR, należą do tych, których dotyczy luka w zabezpieczeniach całej branży. Oczekujemy, że środki ograniczające zagrożenie związane z tą luką w zabezpieczeniach zostały już udostępnione (przez dostawców systemu operacyjnego).
Jako członek Grupy Specjalnego Interesu Bluetooth ściśle współpracujemy z SIG i innymi kluczowymi członkami SIG nad opracowaniem łagodzenia skutków. Ochrona naszych klientów i pomoc w zapewnieniu bezpieczeństwa naszych produktów jest dla firmy Intel kluczowym priorytetem.
Produkty, których dotyczy problem:
- produkty Intel® Wireless-AC (seria 3000, 7000, seria 8000, 9000)
- Produkty Intel® Wi-Fi 6 (AX200, AX201)
- produkty Intel® Wireless Gigabit (seria 17000, 18000)
- Procesor Intel® Atom z serii x3-C3200
Firma Intel zaleca użytkownikom końcowym i administratorom systemów stosowanie aktualizacji w miarę ich udostępniania oraz przestrzeganie ogólnie dobrych praktyk bezpieczeństwa.
Pytania i odpowiedzi
Q1. Jaka jest luka w zabezpieczeniach?
W trakcie procedury negocjacji w sprawie Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) wykryto nową lukę w zabezpieczeniach. Osoba atakująca mająca fizyczną bliskość (zwykle w odległości 30 metrów) lub linię zasięgu wzroku może uzyskać nieautoryzowany dostęp przez sąsiednią sieć, a ruch sieciowy w celu wysyłania sfałszowanych wiadomości w ramach negocjacji między dwoma podatnymi na zagrożenia urządzeniami Bluetooth.
II kwartał. Jakie są konsekwencje, jeśli urządzenie z technologią Bluetooth zostanie naruszone z powodu tej luki w zabezpieczeniach?
Może to prowadzić do ujawnienia informacji, podniesienia uprawnień i/lub odmowy usługi. Na przykład zestawy słuchawkowe lub klawiatury Bluetooth mogą rejestrować lub zmieniać swoje dane.
III kwartału. Czy luki w zabezpieczeniach można wykorzystać, jeśli tylko jedno z dwóch połączonych urządzeń jest podatne na zagrożenia?
Nr. Oba urządzenia muszą być podatne na ataki. Jeśli jedno (lub oba) urządzenie nie jest (nie są), atak podczas kluczowych negocjacji zakończy się niepowodzeniem.
IV kwartał. Co firma Intel robi, aby rozwiązać ten problem Bluetooth® luki w zabezpieczeniach?
Jest to problem ze specyfikacją branży. Firma Intel współpracuje z innymi członkami grupy zainteresowania Bluetooth Special Interest Group (SIG), aby wzmocnić specyfikację rdzenia Bluetooth.
W II kwartale 2018 r Jakie jest oczekiwane łagodzenie skutków tej luki?
Bluetooth SIG pracuje nad aktualizacją specyfikacji BT, aby rozwiązać ten problem, a dostawcy urządzeń obsługujących technologię Bluetooth już pracują nad łagodzeniem skutków.
W I kwartale 2018 r. Kiedy te środki zaradcze będą gotowe?
Firma Intel nie komentuje kwestii w imieniu stron trzecich. Prosimy o kontakt ze sprzedawcą Twojego systemu operacyjnego lub urządzenia. Firma Intel już publicznie udostępnia środki ograniczające skutki dla stosu BlueZ. BlueZ to oficjalny stos protokołu Bluetooth w systemie Linux, który obsługuje podstawowe warstwy i protokoły Bluetooth. Obsługa BlueZ można znaleźć w wielu dystrybucjach Linuxa i jest ogólnie kompatybilna z dowolnym systemem Linux na rynku. Przyjęcie łagodzenia skutków bluez w poszczególnych dystrybucjach Linuxa może się różnić.
Dalsze szczegóły dostępne na stronie:
Bezpieczeństwo Bluetooth® Intel® — rekomendacja w sprawie rozmiaru klucza szyfrowania
Spostrzeżenia na temat Intel® Developer's Zone
Jeśli potrzebujesz dodatkowej pomocy, skontaktuj się z działem obsługi klienta firmy Intel, klikając poniższy link.
