Bluetooth SIG 'AuthValue 누출' 취약점에 관한 성명서
에이전시 내셔널 드 라 세큐리테 데 시스테메스 d'information(ANSSI)의 연구원들은 Bluetooth® Mesh 프로필 사양 버전 1.0 및 1.0.1. 연구원은 공격자가 프로비저닝할 수 있음을 확인했습니다. Mesh AuthValue에 액세스하지 않고 프로비저닝 하여 AuthValue를 직접 식별하여 해당 값을 강제하지 않고 직접 식별합니다.
엔트로피의 전체 128비트가 있는 임의로 생성된 AuthValue가 사용되더라도, 공격자가 프로퍼비어의 공개 키를 획득하고, 확인 값을 프로비전하고, 임의의 가치를 프로비전하고, 프로비저닝 절차에 사용할 공개 키를 제공하는 경우 사용되는 AuthValue를 직접 계산할 수 있습니다.
Bluetooth SIG 잠재적으로 취약할 수 있는 것을 권장합니다. mesh 프로비저스터는 대역 외 메커니즘을 사용하여 공용 키를 교환합니다.
Bluetooth SIG 또한 이 취약점과 구제에 대한 세부 사항을 광범위하게 전달하고 있습니다. 회원, 회원사 기업과 필요한 패치를 신속하게 통합하도록 장려하고 있습니다. 언제나 처럼, Bluetooth 사용자는 장치 및 운영 체제 제조업체에서 최신 권장 업데이트를 설치했는지 확인해야 합니다.
자세한 내용은 CERT 조정 센터의진술서를 참조하십시오.