Bluetooth SIG 关于 "AuthValue 泄漏 "漏洞的声明
Agence nationale de la sécurité des systèmes d'information(ANSSI)的研究人员发现了一个与Bluetooth® Mesh 配置文件 Specification 1.0和1.0.1版本中的供应有关的安全漏洞。研究人员发现,在Mesh 供应程序中,没有访问AuthValue的攻击者有可能直接识别AuthValue,而不对其值进行暴力破解。
即使使用随机生成的具有完整128位熵的AuthValue,获得供应者的公钥、供应确认值和供应随机值并提供其公钥用于供应程序的攻击者将能够直接计算所使用的AuthValue。
Bluetooth SIG ,建议有潜在风险的mesh 供应者使用带外机制来交换公钥。
同时,我们也Bluetooth SIG 在广泛地与我们的会员 公司沟通这个漏洞的细节及其补救措施,并鼓励他们迅速整合任何必要的补丁。 一如既往,Bluetooth 用户应确保他们已经安装了设备和操作系统制造商推荐的最新更新。
详情请参考CERT协调中心的声明。