安全公告

蓝牙SIG 关于 "LE 传统配对的应用密钥 "漏洞的声明

国家信息系统安全署（ANSSI）的研究人员发现了一个潜在的安全漏洞，该漏洞与 4.0 至 5.2 版蓝牙™ 核心规范中的 LE 传统配对应用密钥 有关。研究人员发现，攻击者可以反映 LE 传统配对中对等设备的确认和随机数，从而在不知道临时应用密钥 (TK) 的情况下成功完成传统应用密钥 第 2 阶段。

由于攻击者在此攻击过程中无法获得 TK 或有效的短期应用密钥 (STK)，因此完成应用密钥 第 2 阶段并不足以建立加密链接。蓝牙SIG 认为，这种方法不会对设备造成未经授权的访问。

详情请参考CERT协调中心的声明。