セキュリティについて

AuthValue Leak」脆弱性に関するBluetoothSIG 声明

米国情報システム安全保障庁（Agence nationale de la sécurité des systèmes d'information：ANSSI）の研究者は、ブルートゥース® メッシュプロファイル仕様バージョン1.0および1.0.1のプロビジョニングに関するセキュリティ脆弱性を特定しました。研究者は、AuthValueにアクセスすることなくメッシュプロビジョニング手順でプロビジョニングされた攻撃者が、AuthValueの値をブルートフォースすることなく直接AuthValueを特定できる可能性があることを特定しました。

128ビットのエントロピーを持つランダムに生成されたAuthValueが使用される場合であっても、 攻撃者は、プロビジョナー公開鍵、プロビジョニング確認値、プロビジョニング乱数値を取得し、 プロビジョニング手順で使用するためにその公開鍵を提供することで、使用されるAuthValueを 直接計算することができる。

BluetoothSIG 、潜在的に脆弱なメッシュ・プロビジョナーに対し、帯域外のメカニズムを使用して公開鍵を交換することを推奨している。

また、BluetoothSIG 、この脆弱性の詳細とその対処法について、メンバー 各社に広く伝えており、必要なパッチを迅速に組み込むよう促しています。 Bluetoothユーザーは、デバイスメーカーやOSメーカーが推奨する最新のアップデートを確実にインストールしてください。

詳細については、CERTコーディネーションセンターの声明を参照されたい。