各種藍牙裝置越來越多,同時也越來越多關於藍牙的安全性問題暴露在眾人目光之中,近日 Microsoft 發出公告將封鎖有安全疑慮的低功耗藍牙(BLE)設備安全金鑰(FIDO)與運行 Windows 10 的電腦設備配對連接,以減少其安全漏洞可能允許不肖人士攔截配對金鑰而造成的威脅。
※圖片來源:Google
Windows 6 月更新 安裝後,將阻止部分藍牙裝置與電腦設備配對
近日來 BLE 版本的 FIDO 硬體安全金鑰爆出 CVE-2019-2102 漏洞,在 BLE 規格中存在一個長期金鑰範本(LTK),倘若該裝置的 LTK 採用此樣本編寫而成,身在附近的有心人士理論上可以利用他的手機或電腦攔截使用者的 BLE 金鑰來登入使用者帳戶,或是以其他裝置假冒成 BLE 金鑰連接使用者電腦,進而竄改裝置上的資料或輸入指令。這項漏洞揭發時,僅有相容於BLE 的 Google Titan 藍牙安全金鑰和中國廠商 Feitian 所推出的 MultiPass FIDO Security Key部份型號 受到影響,而兩家公司皆為其用戶提供免費更換服務,且 Google 已於 Android 更新中修補了該漏洞,但實際上受到影響的品項想必不只這兩種。
※圖片來源:Google
Microsoft 釋出的 6 月例行安全性更新中,則對有問題的 BLE 產品進行配對封鎖,Microsoft 表示任何使用眾所周知的金鑰加密連接的設備都可能被禁用,該公司也為其設備可能受影響的使用者提供了一些資源。首先,下面這些更新項目阻止了不安全設備的配對:
KB4503293 或更高版本的 LCU for Windows 10,版本 1903
KB4503327 或更高版本用於 Windows 10,版本 1809 和 Windows Server 2019 的 LCU
KB4503286 或更高版本用於 Windows 10 的版本,版本 1803
KB4503284 或更高版本適用於 Windows 10,版本 1709的 LCU
KB4503279 或更高版本適用於 Windows 10,版本 1703 的LCU
KB4503267 或更高版本適用於 Windows 10,版本 1607 和 Windows Server 2016 的 LCU
KB4503291 或更高版本的 LCU for Windows 10,版本 1507
KB4503276 或更高版本 Windows 8.1和Windows Server 2012 R2 的月度匯總
KB4503285 或更高版本 Windows Server 2012 和 Windows Embedded 8 Standard 的月度匯總
KB4503290適用於Windows 8.1和Windows Server 2012 R2。
適用於 Windows Server 2012 和 Windows Embedded 8 Standard 的 KB4503263
Microsoft 強烈建議使用者安裝 Windows 6 月更新,但想必有人還是會因為必要使用的藍牙設備而選擇延遲更新,目前還不曉得受到影響的設備究竟有多少,但以目前情況看來,問題主要出在 BLE 設備端而非電腦系統,阻止配對對於保護大量使用者來說還是有其功效。如果你手邊的 BLE 設備出現無法與電腦設備連線的問題,但又非用不可的狀況下,你可以有三種選擇:
1. 查看該 BLE 設備製造商網站上是否有可用的韌體更新,下載並安裝
2. 卸除最近的安全性更新以繼續使用 BLE 設備(安全性考量上極度不建議)
3. 靜候解決方式,同時避免使用該 BLE 設備
◎資料來源:SoftPedia