Bluetooth SIG 关于 "可变通承诺 "漏洞的声明
Agence nationale de la sécurité des systèmes d'information(ANSSI)的研究人员在Bluetooth® Mesh 配置文件 规范1.0和1.0.1版本中发现了一个与供应有关的安全漏洞。研究人员发现,如果在供应过程中可以识别AuthValue,即使AuthValue是随机选择的,认证协议也是脆弱的。如果攻击者能在供应程序超时前识别出所使用的AuthValue,就有可能完成供应操作并获得NetKey。
识别AuthValue通常需要对供应者产生的供应随机和供应确认进行粗暴搜索。对于随机选择的AuthValue,这种粗暴的搜索必须在供应程序超时之前完成,这可能需要大量的资源。
使用加密安全的随机或伪随机数字生成器并具有最大允许熵(128位)的AuthValues将最难被破解。熵降低或以可预测的方式生成的AuthValues将无法提供相同水平的保护,以防止这一漏洞。在每次配置尝试中选择一个新的AuthValue,也可以通过要求攻击者在每次配置尝试中重新开始搜索而使暴力攻击更难发起。
同时,我们也Bluetooth SIG 在广泛地与我们的会员 公司沟通这个漏洞的细节及其补救措施,并鼓励他们迅速整合任何必要的补丁。 一如既往,Bluetooth 用户应确保他们已经安装了设备和操作系统制造商推荐的最新更新。
详情请参考CERT协调中心的声明。