セキュリティについて

LEレガシーペアリングの認証」脆弱性に関するBluetoothSIG 声明

ブルートゥース® コア仕様バージョン4.0～5.2におけるLEレガシーペアリング認証 関連する潜在的なセキュリティ脆弱性をANSSI（Agence nationale de la sécurité des systèmes d'information）の研究者が特定しました。研究者は、攻撃者が一時鍵（TK）を知らなくても、LEレガシーペアリングの相手デバイスの確認と乱数を反映し、レガシー認証 フェーズ2を成功させることができることを特定しました。

攻撃者はこの攻撃中に TK、または有効な短期キー（STK）を取得しないため、認証 フェーズ 2 を完了するだけでは暗号化されたリンクは確立されません。BluetoothSIG は、これをデバイスへの不正アクセスを提供する方法とは考えていません。

詳細については、CERTコーディネーションセンターの声明を参照されたい。