Bluetooth®キーネゴシエーションの脆弱性

ドキュメント

製品情報 & ドキュメント

000055198

2020/10/19

セキュリティー研究者が、Bluetooth®キーのネゴシエーションにおける脆弱性を CERT コーディネーションセンターおよび Bluetooth®サプライヤー業界に特定しました。 

Oxford 大学のコンピューター科学者による業界全体の脆弱性に関する調査は、USENIX Security Symposium で一般公開されます。これは 2019 8 月14-16 に実施します。この調査では、「Bluetooth®キーネゴシエーションの脆弱性」、または「ノブ」と呼ばれる、Bluetooth®ベーシックレート/拡張データレート (BR/EDR) の暗号化キーネゴシエーションに影響を与える業界全体の脆弱性について詳しく説明します。この脆弱性は Bluetooth®低消費電力 (振動) に影響を与えることはありません。Bluetooth BR/EDR をサポートするインテル製品は、この業界全体の脆弱性の影響を受けます。インテルが期待しているのは、この脆弱性の対処方法が既に利用可能になっているということです (OS ベンダーが対応)。

お客様は、Bluetooth の特別関心グループのメンバーとして、SIG およびその他のキー SIG メンバーと緊密に連携して、緩和策を開発しています。当社のお客様を保護し、インテル製品のセキュリティーを確実にすることが、インテルの重要な優先事項です。

影響を受ける製品:

  • インテル® Wireless-AC 製品 (3000 シリーズ、7000シリーズ、8000シリーズ、9000シリーズ)
  • インテル® Wi-fi 6 製品 (AX200、AX201)
  • インテル® Wireless Gigabit 製品 (17000 シリーズ、18000シリーズ)
  • インテル® Atom x3-C3200 プロセッサー・シリーズ

エンドユーザーおよびシステム管理者が利用可能になったときに更新プログラムを適用することをお勧めします。一般には、適切なセキュリティー・プラクティスに従ってください。

Q & A

Q1。脆弱性とは何ですか?
Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) キー・ネゴシエーション手順で新しい脆弱性が発見されました。物理的な近接性 (通常 30 m 以内) または視野により、攻撃者が隣接するネットワークを通じて不正にアクセスし、2つの脆弱性のある Bluetooth デバイス間で偽造されたネゴシエーションメッセージを送信するトラフィックを阻止する可能性があります。

Q2.この脆弱性により、Bluetooth 対応デバイスが侵害された場合、どのような影響がありますか?
これにより、情報の漏えい、権限の昇格およびサービス拒否が発生する可能性があります。例えば、Bluetooth ヘッドセットまたはキーボードは、データを取得または変更することができます。

以降.接続されている2つのデバイスのいずれか一方のみが攻撃を受けた場合、その脆弱性を悪用することができますか?
いいえ。両方のデバイスが脆弱である必要があります。いずれか (または両方) のデバイスが脆弱でない場合、キーネゴシエーション中の攻撃は失敗します。

年.この Bluetooth®の脆弱性に対処するために、インテルは何をすべきですか?
これは業界仕様の問題です。インテルは、bluetooth の特別な関心事グループ (SIG) の他のメンバーと提携して Bluetooth のコア仕様を強化しています。

Q5.この脆弱性に対して予想される対策とは?
Bluetooth SIG は、この問題に対処するために BT 仕様の更新に取り組んでいます。また、OS および Bluetooth 対応デバイス・ベンダーがすでに緩和に取り組んでいます。

Q6.これらの緩和の準備はいつですか?
インテルはサードパーティーのためにコメントしていません。お使いの OS またはデバイスのベンダーにお問い合わせください。インテルは、公開されている BlueZ スタックの緩和をすでに実施しました。BlueZ は公式の Linux Bluetooth プロトコル・スタックで、コア Bluetooth ・レイヤーとプロトコルのサポートを提供します。BlueZ のサポートは、多くの Linux ディストリビューションに搭載されています。また、市場に搭載されている Linux システムとも一般的に互換性があります。個々の Linux ディストリビューションに BlueZ ・緩和を採用することは、異なる場合があります。

 

詳細については、以下を参照してください。
インテル® Bluetooth® Security –暗号化キーサイズに関する推奨事項
インテル®開発者向けゾーンのインサイト

さらにサポートが必要な場合は、以下のリンクをクリックしてインテル・カスタマー・サポートにお問い合わせください。