许多蓝牙实施和操作系统驱动程序受Crypto BugBoth的影响,部分供应商巨头也受到蓝牙和LE蓝牙的影响

加密错误会影响Apple,Broadcom,Intel,Qualcomm以及其他硬件供应商的蓝牙实施和操作系统驱动程序。

出现此错误是因为支持蓝牙的设备无法充分验证“安全”蓝牙连接期间使用的加密参数。更准确地说,配对设备不能充分验证用于在Diffie-Hellman密钥交换期间生成公钥的椭圆曲线参数。

这导致配对率下降,可能会导致远程攻击者获得设备使用的加密密钥并恢复在“安全”蓝牙连接中配对的两个设备之间发送的数据。

蓝牙和蓝牙LE都受到影响

蓝牙标准的“安全简单配对”过程和蓝牙LE的“安全连接”配对过程都会受到影响。

来自以色列理工学院的两位科学家Lior Neumann和Eli Biham发现了这个漏洞,被追踪为事件CVE-2018-5383。

CERT / CC 昨晚发布了一份安全通报,其中包含以下针对此漏洞的说明:

一些大厂商受到影响

Apple,Broadcom,英特尔和高通公司已确认蓝牙实施和操作系统驱动程序受到影响。Apple,Broadcom和英特尔已经针对该漏洞发布了修复程序。高通发言人通过电子邮件告诉Bleeping Computer他们也部署了修复程序。

微软称其设备不受影响。CERT / CC专家无法确定Android,Google设备或Linux内核是否受到影响。

负责监督蓝牙标准发展的蓝牙特别兴趣小组(SIG)发布了一份有关漏洞的声明。

该组织表示,它现已更新官方蓝牙规范,要求所有配对设备验证用于基于密钥的加密蓝牙连接的所有参数。

研究人员和蓝牙技术联盟表示,他们并未发现可能使用此漏洞的任何额外攻击。

CVE-2018-5383的更新应该是OS更新或驱动程序更新(用于台式机,笔记本电脑和智能手机)或固件更新(在物联网/智能设备的情况下)。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/many-bluetooth-implementations-and-os-drivers-affected-by-crypto-bug/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券