ช่องโหว่การต่อรองที่สําคัญBluetooth®
นักวิจัยด้านการรักษาความปลอดภัยได้ระบุช่องโหว่ในการBluetooth®การต่อรองที่สําคัญต่อศูนย์ประสานงาน CERT และอุตสาหกรรมซัพพลายเออร์Bluetooth®
งานวิจัยที่จัดทําขึ้นใหม่เกี่ยวกับช่องโหว่ทั่วทั้งอุตสาหกรรมโดยนักวิทยาศาสตร์คอมพิวเตอร์ที่ University of Oxford จะมีการเปิดเผยต่อสาธารณชนที่ระบบรักษาความปลอดภัย USENIX Symposium ซึ่งจะมีขึ้นในวันที่ 14-16 สิงหาคม 2019 เรียกว่า "ช่องโหว่การต่อรองที่สําคัญBluetooth®" หรือ "KNOB" การวิจัยนี้อธิบายถึงช่องโหว่ทั่วทั้งอุตสาหกรรมที่มีผลต่อการต่อรองคีย์การเข้ารหัสของ Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR) ช่องโหว่นี้ไม่มีผลต่อBluetooth®ใช้พลังงานต่ํา (BLE) ผลิตภัณฑ์ Intel ที่รองรับ Bluetooth BR/EDR เป็นหนึ่งในผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ในอุตสาหกรรมนี้ ความคาดหวังของเราคือ การลดปัญหาการจัดการกับช่องโหว่นี้ได้มีให้มาแล้ว (โดยผู้จําหน่ายระบบปฏิบัติการ)
ในฐานะสมาชิกของ Bluetooth Special Interest Group เรากําลังทํางานอย่างใกล้ชิดกับ SIG และสมาชิก SIG รายสําคัญอื่นๆ เพื่อพัฒนาการลดภัย การปกป้องลูกค้าของเราและช่วยรักษาความปลอดภัยของผลิตภัณฑ์ของเราเป็นสิ่งสําคัญอย่างยิ่งสําหรับ Intel
ผลิตภัณฑ์ที่ได้รับผลกระทบ:
- ผลิตภัณฑ์Intel® Wireless-AC (ซีรีส์ 3000, ซีรีส์ 7000, ซีรีส์ 8000, ซีรีส์ 9000)
- ผลิตภัณฑ์ Intel® Wi-Fi 6 (AX200, AX201)
- ผลิตภัณฑ์Intel® Wireless Gigabit (ซีรีส์ 17000, 18000 ซีรีส์)
- โปรเซสเซอร์ Intel® Atom ซีรีส์ x3-C3200
Intel แนะนําให้ผู้ใช้ปลายทางและผู้ดูแลระบบใช้การอัปเดตเมื่อพร้อมใช้งาน และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยโดยทั่วไป
ถาม-ตอบ
ไตร มาส ช่องโหว่คืออะไร
พบช่องโหว่ใหม่ในระหว่างการเจรจาต่อรองที่สําคัญ Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) ผู้โจมตีที่อยู่ใกล้เคียงกัน (มักจะอยู่ภายใน 30 เมตร) หรือกลุ่มสายตาสามารถเข้าใช้งานโดยไม่ได้รับอนุญาตผ่านเครือข่ายที่อยู่ติดกัน และดักจับการรับส่งข้อมูลเพื่อส่งข้อความการต่อรองปลอมระหว่างอุปกรณ์ Bluetooth ที่มีช่องโหว่สองเครื่อง
ไตรมาสที่ 2 ผลที่ตามมาคืออย่างไรหากอุปกรณ์ที่ใช้งาน Bluetooth ถูกทําลายเนื่องจากช่องโหว่นี้
ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูล การยกระดับสิทธิ์และ/หรือการปฏิเสธการให้บริการ ตัวอย่างเช่น ชุดหูฟังหรือคีย์บอร์ด Bluetooth สามารถจับภาพหรือเปลี่ยนแปลงข้อมูลได้
ไตรมาสที่ 3 ช่องโหว่นี้สามารถถูกเจาะได้หากมีช่องโหว่เพียงหนึ่งในสองอุปกรณ์ที่เชื่อมต่ออยู่มีช่องโหว่หรือไม่
ไม่ใช่ อุปกรณ์ทั้งสองต้องมีช่องโหว่ หากอุปกรณ์หนึ่ง (หรือทั้งสอง) ไม่มีช่องโหว่ การโจมตีระหว่างการต่อรองคีย์จะล้มเหลว
ไตรมาสที่ 4 Intel ทําอะไรเพื่อจัดการกับช่องโหว่Bluetooth®นี้
นี่เป็นปัญหาข้อมูลจําเพาะของอุตสาหกรรม Intel กําลังร่วมมือกับสมาชิกคนอื่นๆ ของ Bluetooth Special Interest Group (SIG) เพื่อเสริมความแข็งแกร่งให้กับข้อมูลจําเพาะของ Bluetooth Core
ไตรมาสที่ 5 การลดความเสี่ยงที่คาดหวังสําหรับช่องโหว่นี้คืออะไร
Bluetooth SIG กําลังดําเนินการอัปเดตข้อมูลจําเพาะ BT เพื่อแก้ไขปัญหานี้ และผู้จําหน่ายอุปกรณ์ที่ใช้งานระบบปฏิบัติการและ Bluetooth กําลังดําเนินการบรรเทาผลกระทบแล้ว
ไตรมาสที่ 6 การบรรเทาภัยเหล่านี้จะพร้อมเมื่อใด
Intel ไม่แสดงความคิดเห็นในนามของบุคคลที่สาม โปรดติดต่อ OS หรือผู้จัดจําหน่ายอุปกรณ์ของคุณ Intel ได้สร้างการลดปัญหาสําหรับ BlueZ Stack ที่เผยแพร่ต่อสาธารณะแล้ว BlueZ เป็นสแต็กโปรโตคอล Linux Bluetooth อย่างเป็นทางการและให้การสนับสนุนเลเยอร์และโปรโตคอล Core Bluetooth การรองรับ BlueZ สามารถพบได้ในผู้แทนจําหน่าย Linux มากมาย และโดยทั่วไปสามารถใช้งานได้กับระบบ Linux ใดๆ ในตลาด การนําการลดค่า BlueZ มาใช้ใน Linux Distributions แต่ละตัวอาจแตกต่างกันไป
รายละเอียดเพิ่มเติมได้ที่:
Intel® Bluetooth® Security - คําแนะนําขนาดคีย์การเข้ารหัส
ข้อมูลเชิงลึกเกี่ยวกับโซนนักพัฒนาของ Intel®
หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ ฝ่ายสนับสนุนลูกค้า Intel โดยคลิกที่ลิงก์ด้านล่าง
