ช่องโหว่ใน®เจรจาต่อรองคีย์บลูทูธ

เอกสาร

ข้อมูลผลิตภัณฑ์และเอกสารประกอบ

000055198

19/10/2020

นักวิจัยด้านความปลอดภัยได้ระบุช่องโหว่ใน Bluetooth®การเจรจาที่สำคัญกับศูนย์ประสานงานใบรับรองและอุตสาหกรรมของผู้จัดจำหน่าย® Bluetooth 

การวิจัยใหม่เกี่ยวกับช่องโหว่ทั่วโลกโดยนักวิทยาศาสตร์คอมพิวเตอร์ที่มหาวิทยาลัยอ๊อกซฟอร์ดจะเปิดเผยต่อสาธารณะที่ USENIX Security Symposium, ซึ่งจะเกิดขึ้นเมื่อ 14-16, ๒๐๑๙ เรียกว่า "®ช่องโหว่การเจรจาต่อรองที่สำคัญ" หรือ "ลูกบิด" ซึ่งรายละเอียดการวิจัยนี้มีช่องโหว่ทั่วทั้งอุตสาหกรรมที่มีผลกระทบต่อการเข้ารหัสลับที่สำคัญการเจรจาของ Bluetooth®อัตราพื้นฐาน/อัตราข้อมูลที่เพิ่มขึ้น (BR/EDR) ช่องโหว่นี้ไม่ส่งผลกระทบต่อ Bluetooth®พลังงานต่ำ (BLE) ผลิตภัณฑ์ของ Intel ที่รองรับ Bluetooth BR/EDR อยู่ในกลุ่มที่ได้รับผลกระทบจากช่องโหว่ทั่วทั้งอุตสาหกรรมนี้ ความคาดหวังของเราคือว่า mitigations ที่แอดเดรสช่องโหว่นี้ได้ถูกทำให้พร้อมใช้งานแล้ว (โดยผู้จำหน่ายของ OS)

ในฐานะที่เป็นสมาชิกของกลุ่มความสนใจพิเศษของ Bluetooth เรากำลังทำงานอย่างใกล้ชิดกับสมาชิก sig และ SIG ที่สำคัญอื่นๆเพื่อพัฒนา mitigations การปกป้องลูกค้าของเราและช่วยให้มั่นใจในความปลอดภัยของผลิตภัณฑ์ของเราเป็นสิ่งสำคัญที่สุดสำหรับ Intel

ผลิตภัณฑ์ที่ได้รับผลกระทบ:

  • ผลิตภัณฑ์ Intel® Wireless-AC (ซีรีส์๓๐๐๐, ๗๐๐๐ซีรี่ส์, ซีรีส์๘๐๐๐, ๙๐๐๐ซีรี่ส์)
  • ผลิตภัณฑ์ Intel® wi-fi 6 (AX200, AX201)
  • ผลิตภัณฑ์ Intel® Wireless Gigabit (ซีรีส์๑๗๐๐๐, ๑๘๐๐๐ series)
  • โปรเซสเซอร์ Intel® Atom C3200 ซีรี่ส์

Intel แนะนำให้ผู้ใช้และผู้ดูแลระบบปลายทางใช้การอัปเดตเนื่องจาก avaialble และปฏิบัติตามแนวทางปฏิบัติด้านการรักษาความปลอดภัยที่ดีโดยทั่วไป

คำถาม & A

ไตร มาส ช่องโหว่คืออะไร
มีการค้นพบช่องโหว่ใหม่ในระหว่างบลูทูธ® BR/EDR (อัตราพื้นฐาน/อัตราข้อมูลที่ปรับปรุงแล้ว) ขั้นตอนการเจรจาหลักที่สำคัญ ผู้โจมตีที่มีความใกล้ชิดทางกายภาพ (มักจะอยู่ภายใน30เมตร) หรือสายตาสามารถเข้าถึงได้โดยไม่ได้รับอนุญาตผ่านเครือข่ายที่อยู่ติดกันและสกัดกั้นการเข้าชมเพื่อส่งข้อความเจรจาต่อรองแบบปลอมระหว่างอุปกรณ์ Bluetooth ที่มีช่องโหว่สองอุปกรณ์

ไตร . อะไรคือผลกระทบหากอุปกรณ์ที่รองรับบลูทูธตกอยู่ในอันตรายเนื่องจากช่องโหว่นี้
ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลยกระดับสิทธิ์และ/หรือปฏิเสธการให้บริการ ตัวอย่างเช่นชุดหูฟังหรือคีย์บอร์ด Bluetooth สามารถทำให้ข้อมูลของพวกเขาได้รับการบันทึกหรือเปลี่ยนแปลง

มาส . ช่องโหว่ที่สามารถใช้งานได้หากมีอุปกรณ์สองเครื่องที่เชื่อมต่ออยู่เท่านั้นที่มีความเสี่ยง
ไม่ใช่ อุปกรณ์ทั้งสองจะต้องมีช่องโหว่ หากหนึ่ง (หรือทั้งสองอย่าง) ของอุปกรณ์คือ (are) ไม่เสี่ยงการโจมตีในระหว่างการเจรจาสำคัญจะล้มเหลว

ไตร . Intel ทำอะไรได้บ้างเพื่อรับมือกับช่องโหว่® Bluetooth นี้
นี่เป็นปัญหาข้อมูลจำเพาะอุตสาหกรรม Intel เป็นผู้ร่วมมือกับสมาชิกคนอื่นๆของกลุ่มความสนใจพิเศษ Bluetooth (SIG) เพื่อเสริมสร้างข้อกำหนดหลักของ Bluetooth

ถาม . การลดความเสี่ยงที่คาดไว้สำหรับช่องโหว่นี้คืออะไร
Bluetooth SIG กำลังทำงานในการอัพเดทข้อมูลจำเพาะ BT เพื่อแก้ไขปัญหานี้และผู้จัดจำหน่ายอุปกรณ์ระบบปฏิบัติการที่เปิดใช้งานระบบปฏิบัติการและ Bluetooth กำลังทำงานอยู่แล้วบน mitigations

Q6. เมื่อใดที่ mitigations เหล่านี้จะพร้อมใช้งาน
Intel ไม่แสดงความคิดเห็นในนามของบุคคลที่สามโปรดติดต่อระบบปฏิบัติการหรือผู้จำหน่ายอุปกรณ์ของคุณ Intel ได้ทำการลดประสิทธิภาพสำหรับ BlueZ stack แบบสาธารณะที่มีอยู่แล้ว BlueZ เป็นสแต็คโปรโตคอล Linux ที่เป็นทางการและให้การสนับสนุนสำหรับชั้นและโปรโตคอล core Bluetooth การสนับสนุน BlueZ สามารถพบได้ในการกระจาย Linux จำนวนมากและโดยทั่วไปเข้ากันได้กับระบบ Linux ใดๆในตลาด การนำการลด BlueZ ไปใช้ในการกระจาย Linux แต่ละตัวอาจแตกต่างกันออกไป

 

รายละเอียดเพิ่มเติมมีให้บริการที่:
Intel® Bluetooth®การรักษาความปลอดภัย–คำแนะนำขนาดคีย์การเข้ารหัสลับ
ข้อมูลเชิงลึกเกี่ยวกับโซนสำหรับนักพัฒนา®ของ Intel

หากคุณต้องการความช่วยเหลือเพิ่มเติมโปรดติดต่อฝ่ายสนับสนุนลูกค้าของ Intel โดยคลิกที่ลิงก์ด้านล่าง