주요 협상 Bluetooth
IT 보안, 개인 정보 보호 및 책임 센터(CISPA)의 연구원들은 암호화와 관련된 보안 취약점을 확인했습니다. Bluetooth BR/EDR 연결. 연구진은 공격 장치가 사용되는 암호화 키의 길이를 줄이는 방식으로 두 장치 간의 BR/EDR 연결에 암호화를 설정하는 데 사용되는 절차를 방해할 수 있음을 확인했습니다. 또한, 전부는 아니기 때문에 Bluetooth 사양은 최소 암호화 키 길이를 의무화하고 일부 공급업체가 개발했을 수 있습니다. Bluetooth BR/EDR 연결에 사용되는 암호화 키의 길이를 공격 장치에 의해 단일 옥텟으로 설정할 수 있는 제품입니다. 또한, 연구원은 그 확인, 심지어 경우에 있는 경우 Bluetooth 사양은 최소 키 길이를 위임했다, Bluetooth 협상된 암호화 키가 최소 길이를 충족하는지 확인하기 위해 현재 필요한 단계를 수행하지 못할 수 있는 필드에 제품이 존재합니다. 공격 장치가 암호화 키를 더 짧은 길이로 설정하는 데 성공한 경우 공격 장치는 무차별 암호 대입 공격을 시작하고 키를 성공적으로 해독한 다음 트래픽을 모니터링하거나 조작할 수 있습니다.
공격이 성공하려면 공격 장치가 두 개의 취약한 무선 범위 내에 있어야 합니다. Bluetooth BR/EDR 연결을 설정하는 장치입니다. 장치 중 하나에 취약점이 없는 경우 공격이 성공하지 못할 것입니다. 공격 장치는 두 장치 간에 주요 길이 협상 메시지를 가로채고 조작하고 다시 전송하는 동시에 좁은 시간 내에 두 장치에서 전송을 차단해야 합니다. 공격 장치가 사용되는 암호화 키 길이를 단축하는 데 성공한 경우 암호화 키를 해독하기 위해 무차별 암호 힘 공격을 실행해야 합니다. 또한 공격 장치는 암호화 키 크기 협상이 매번 이루어지기 때문에 암호화가 활성화될 때마다 공격을 반복해야 합니다.
취약점이 악의적으로 악용되었다는 증거는 없으며 Bluetooth SIG 취약점을 식별한 연구원을 포함하여 공격을 구현하는 장치를 인식하지 못하고 있습니다.
취약점을 해결하기 위해 Bluetooth SIG 업데이트되었습니다. Bluetooth 핵심 사양은 BR/EDR 연결에 대해 7 옥텟의 최소 암호화 키 길이를 권장합니다. Bluetooth SIG 또한 당사 내에서 이 새로운 권장 사항에 대한 테스트도 포함됩니다. Bluetooth 자격 프로그램. 또한, Bluetooth SIG 제품 개발자는 BR/EDR 연결에 대해 최소 암호화 키 길이 7개의 옥텟을 적용하기 위해 기존 솔루션을 업데이트하는 것이 좋습니다.
Bluetooth SIG 또한 이 취약점과 당사에 대한 구제사항에 대한 세부 사항을 광범위하게 전달하고 있습니다. 회원, 회원사 기업은 필요한 패치를 신속하게 통합하도록 장려하고 있습니다. 언제나 처럼, Bluetooth 사용자는 장치 및 운영 체제 제조업체에서 최신 권장 업데이트를 설치했는지 확인해야 합니다.
자세한 내용은 CERT 조정 센터의진술서를 참조하십시오.