보안 공지 사항

Bluetooth SIG 'AuthValue 누출' 취약점에 관한 성명서

프랑스 국립 정보 보안 연구소(ANSSI)의 연구원들이 블루투스® 메시 프로필 사양 버전 1.0 및 1.0.1의 프로비저닝과 관련된 보안 취약점을 발견했습니다. 연구진은 인증 값에 대한 액세스 권한 없이 메시 프로비저닝 절차에서 프로비저닝된 공격자가 인증 값을 무차별 대입하지 않고 직접 인증 값을 식별할 수 있다는 사실을 확인했습니다.

전체 128비트의 엔트로피로 무작위로 생성된 인증값을 사용하는 경우에도 공격자는 프로비저너공개 키, 프로비저너확인 값, 무작위 값을 획득하고 프로비저너절차에 사용할 공개 키를 제공하면 사용된 인증값을 직접 계산할 수 있습니다.

Bluetooth SIG 잠재적으로 취약할 수 있는 것을 권장합니다. mesh 프로비저스터는 대역 외 메커니즘을 사용하여 공용 키를 교환합니다.

Bluetooth SIG 또한 이 취약점과 구제에 대한 세부 사항을 광범위하게 전달하고 있습니다. 회원, 회원사 기업과 필요한 패치를 신속하게 통합하도록 장려하고 있습니다.  언제나 처럼, Bluetooth 사용자는 장치 및 운영 체제 제조업체에서 최신 권장 업데이트를 설치했는지 확인해야 합니다.

자세한 내용은 CERT 조정 센터의진술서를 참조하십시오.