藍牙連接不管在手機、電腦還是家用設備上可以說是無所不在,也是目前使用上最廣泛的無線連接方式,近日傳出藍牙配對上存在安全漏洞 Crypto Bug ,已知各大廠商的硬體均受到影響,目前監管機構 Bluetooth SIG 已更新了官方藍牙規範,各家廠商安全性更新亦陸續推出中。
※圖片來源:Lifewire
藍牙配對安全漏洞 Crypto Bug 影響層面廣大,請隨時準備更新
當你在為藍牙 / 藍牙LE 裝置(例如手機與電腦)配對時,兩個設備間會互相交換加密金鑰,以色列理工學院的研究人員 Lior Neumann 和 Eli Biham 發現一個存在於現行藍牙標準中的安全漏洞 Crypto Bug ,這個問題導致兩設備間無法充分地相互驗證,致使在裝置進行 Diffie-Hellman 驗證(ECDH)的過程中無法生成橢圓曲線加密,讓遠端攻擊者有機會取得設備中的加密金鑰,並且以「安全」的連線方式在兩個設備間傳輸數據。
在這個漏洞被發現後,CERT 發布了一份解釋這個漏洞的安全公告,Bluetooth SIG 也發布新的安全性說明,幸運的是如果兩個設備中若至少有一個在 ECDH 金鑰交換(CVE-2018-5383)期間驗證完成所有橢圓曲線加密參數則可倖免於該漏洞的威脅。目前已知包含 Apple、Broadcom、Intel、高通等知名廠商皆受到影響;Bluetooth SIG 同時亦更新了藍牙規範。
許多硬體廠商已經開始陸續釋出補丁, Apple 為 El Capitan及更高版本更新了 MacOS,此外還修復了 iOS 11.4;Intel 為 Windows 7 / 8.1 / 10 提供更新的藍牙驅動程式,另外高通與 Broadcom 也證實更新已發佈。但是某些更新需要設備的消費端製造商來釋出,大家可以關注一下手邊設備的官方通知及早堵上這個漏洞。
◎資料來源:CNet 、 Bleeping Computer
