安全公告

Bluetooth SIG 关于 "Bluetooth Mesh 供应中的冒名攻击 "漏洞的声明

Agence nationale de la sécurité des systèmes d'information (ANSSI) 的研究人员和普渡大学（Purdue University）的研究人员独立发现了一个与蓝牙™ Mesh配置文件 规范 1.0 和 1.0.1 版本中的配置相关的安全漏洞。这两组研究人员都发现，攻击者在不知道 AuthValue 的情况下，有可能欺骗正在配置的设备，使用伪造的响应来显示拥有 AuthValue，并获得有效的网络密钥 和潜在的应用密钥。

要使这种攻击成功，攻击设备需要处于网状启动配置设备 设备的无线范围内，并欺骗正在空中配置的设备身份，或直接配置到由启动配置设备控制的子网 。在没有 AuthValue 的情况下成功验证后，攻击者可以执行子网 配置的节点所允许的任何操作，直到被拒绝访问或形成一个没有攻击节点的子网 为止。

蓝牙SIG 建议，可能存在漏洞的网状设备供应者限制应用密钥 程序，不接受来自远程对等设备的与本地设备所选号码相同的供应随机号码和供应确认号码。

同时，我们也Bluetooth SIG 在广泛地与我们的会员 公司沟通这个漏洞的细节及其补救措施，并鼓励他们迅速整合任何必要的补丁。 一如既往，Bluetooth 用户应确保他们已经安装了设备和操作系统制造商推荐的最新更新。

详情请参考CERT协调中心的声明。