ช่องโหว่การต่อรอง® Bluetooth, Key

เอกสาร

ข้อมูลผลิตภัณฑ์และเอกสารประกอบ

000055198

16/07/2021

นักวิจัยด้านความปลอดภัยพบช่องโหว่ใน Bluetooth® Key Negotiation กับศูนย์ประสานงาน CERT และอุตสาหกรรม® Bluetooth 

การวิจัยที่จัดขึ้นใหม่บนช่องโหว่ทั่วทั้งอุตสาหกรรมโดยนักวิทยาศาสตร์คอมพิวเตอร์ที่ University of Vulnerabilits จะได้รับการเปิดเผยต่อสาธารณะที่ USENIX Security Symposium ซึ่งจะจัดขึ้นเมื่อวันที่ 14-16 สิงหาคม 2019 หรือที่เรียกว่า "Bluetooth® Key Negotiation Vulnerability" หรือ "KNOB" การวิจัยนี้ระบุรายละเอียดช่องโหว่ทั่วทั้งอุตสาหกรรมที่ส่งผลต่อการต่อรองคีย์การเข้ารหัสของ Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR) ช่องโหว่นี้ไม่ส่งผลต่อ Bluetooth® พลังงานต่า (BLE) ผลิตภัณฑ์ Intel ที่รองรับ Bluetooth BR/EDR เป็นหนึ่งในผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ทั่วทั้งอุตสาหกรรมนี้ ความคาดหวังของเราคือการลดความเสี่ยงเกี่ยวกับช่องโหว่นี้ให้บริการแล้ว (โดยผู้ขายระบบปฏิบัติการ)

ในฐานะสมาชิกของ Bluetooth Special Interest Group เราอย่างใกล้ชิดกับ SIG และสมาชิก SIG รายหลักอื่นๆ เพื่อพัฒนาการลดความเสี่ยง การปกป้องลูกค้าของเราและช่วยรับรองความปลอดภัยของผลิตภัณฑ์ของเราเป็นภารกิจที่เน้นเน้นที่ Intel โดยเฉพาะ

ผลิตภัณฑ์ที่ได้รับผลกระทบ:

  • Intel® Wireless-ACผลิตภัณฑ์ (ซีรีส์ 3000, 7000 ซีรีส์, 8000 ซีรีส์, 9000 ซีรีส์)
  • ผลิตภัณฑ์ Intel® Wi-Fi 6 (AX200, AX201)
  • Intel® Wireless Gigabitผลิตภัณฑ์ (ซีรีส์ 17000, 18000)
  • โปรเซสเซอร์ Intel® Atom ซีรี่ส์ x3-C3200

Intel ขอแนะนาให้ผู้ใช้และผู้ดูแลระบบใช้การอัปเดตเมื่อพร้อมใช้ และปฏิบัติตามแนวทางปฏิบัติด้านการรักษาความปลอดภัยที่ดีโดยทั่วไป

ถามตอบ

ไตร มาส ช่องโหว่คืออะไร
พบช่องโหว่ใหม่ในระหว่างขั้นตอนต่อรองที่คีย์ Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) ผู้โจมตีในระยะใกล้เคียงกัน (โดยปกติจะอยู่ภายใน 30 มิเตอร์) หรือสายสายตาสามารถเข้าถึงเครือข่ายใกล้เคียงกันและดักจับการรับส่งข้อมูลการต่อรองที่ถูกปลอมแปลงระหว่างอุปกรณ์ Bluetooth ที่มีช่องโหว่สองเครื่องได้

ไตรมาสที่ 2 อะไรคือผลที่ตามมาหากอุปกรณ์ที่ใช้งาน Bluetooth ถูกละเมิดเนื่องจากช่องโหว่นี้
ซึ่งอาจส่งผลให้เกิดการเปิดเผยข้อมูล ยกระดับสิทธิ์ และ/หรือการปฏิเสธการให้บริการ ตัวอย่างเช่น ชุดหูฟังหรือคีย์บอร์ด Bluetooth สามารถบันทึกหรือเปลี่ยนแปลงข้อมูลได้

ไตรมาสที่ 3 สามารถเจาะช่องโหว่ได้หรือไม่ หากอุปกรณ์ใดตัวหนึ่งในสองเครื่องที่เชื่อมต่ออยู่นั้นสามารถมีช่องโหว่ได้หรือไม่
ไม่ใช่ อุปกรณ์ทั้งสองต้องมีช่องโหว่ หากมี (หรือทั้งสองอย่าง) อุปกรณ์นั้นไม่มีช่องโหว่ การโจมตีระหว่างการต่อรองหลักจะล้มเหลว

ไตรมาสที่ 4 Intel จะแก้ไขช่องโหว่ทาง® Bluetooth นี้อย่างไร
นี่เป็นปัญหาข้อมูลทางเทคนิคของอุตสาหกรรม Intel ร่วมมือกับสมาชิกคนอื่น ๆ ของ Bluetooth Special Interest Group (SIG) เพื่อเสริมความแข็งแกร่งให้กับข้อมูลเฉพาะของ Bluetooth Core

ไตรมาสที่ 5 การลดความเสี่ยงที่คาดไว้ในช่องโหว่นี้คืออะไร
Bluetooth SIG จะพยายามปรับปรุงข้อมูลทางเทคนิคของ BT เพื่อแก้ไขปัญหานี้ และผู้ให้บริการอุปกรณ์ที่ใช้งานระบบปฏิบัติการและ Bluetooth ได้ได้มีการแก้ไขปัญหานี้แล้ว

ไตรมาสที่ 6 การลดความเสี่ยงเหล่านี้จะพร้อมแล้วเมื่อไร
Intel ไม่ได้แสดงความคิดเห็นในนามของบุคคลที่สาม โปรดติดต่อผู้จัดซื้อระบบปฏิบัติการหรืออุปกรณ์ของคุณ Intel ได้ตัดการลดความเสี่ยงของสแต็ค BlueZ ต่อสาธารณะแล้ว BlueZ เป็นสแตกโปรโตคอล Linux Bluetooth อย่างเป็นทางการและให้การสนับสนุนเลเยอร์และโปรโตคอล Bluetooth หลัก การรองรับ BlueZ พบได้ในหลายๆ การเผยแพร่ Linux และสามารถใช้งานกับระบบ Linux ใดๆ ในตลาดได้ การนําเอา BlueZ มาใช้ในการลดความเสี่ยงในแต่ละ Linux Distributions อาจแตกต่างกันไป

 

รายละเอียดเพิ่มเติมที่ดูได้ที่:
Intel® Bluetooth® Security – ข้อเสนอแนะขนาดคีย์การเข้ารหัส
ข้อมูลเชิงลึกเกี่ยวกับโซน®นักพัฒนาของ Intel

หากคุณต้องการความช่วยเหลือเพิ่มเติม โปรดติดต่อ ฝ่ายสนับสนุนลูกค้า Intel โดยคลิกที่ลิงก์ด้านล่าง