據(jù)外媒報(bào)道，最近曝出的一個(gè)加密錯(cuò)誤（Crypto Bug），對(duì)蘋(píng)果、博通、英特爾、高通等硬件供應(yīng)商的藍(lán)牙實(shí)施和操作系統(tǒng)程序都產(chǎn)生了較大的影響。其原因是支持藍(lán)牙的設(shè)備無(wú)法充分驗(yàn)證“安全”藍(lán)牙連接期間使用的加密參數(shù)。更準(zhǔn)確的說(shuō)法是，配對(duì)設(shè)備不能充分驗(yàn)證用在 Diffie-Hellman 密鑰交換期間，生成公鑰的橢圓曲線參數(shù)。

      該 bug 導(dǎo)致了弱配對(duì)，使得遠(yuǎn)程攻擊者有機(jī)會(huì)獲得設(shè)備使用的加密密鑰，并恢復(fù)在“安全”藍(lán)牙連接中配對(duì)的兩個(gè)設(shè)備之間發(fā)送的數(shù)據(jù)。

      以色列理工學(xué)院的科學(xué)家 Lior Neumann 和 Eli Biham 發(fā)現(xiàn)了該漏洞：

其追溯編號(hào)為 CVE-2018-5383，可知藍(lán)牙標(biāo)準(zhǔn)的‘安全簡(jiǎn)單配對(duì)’過(guò)程和低功耗藍(lán)牙（Bluetooth LE）的‘安全連接’配對(duì)過(guò)程都受到了影響。

      計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT / CC）昨晚發(fā)布了一份安全通報(bào)，其中包含了針對(duì)該漏洞的如下說(shuō)明：

藍(lán)牙利用基于橢圓曲線 Diffie-Hellman（ECDH）的密鑰交換配對(duì)機(jī)制，實(shí)現(xiàn)設(shè)備之間的加密通信。ECDH 的密鑰對(duì)，由私鑰和公鑰組成。且需交換公鑰，以產(chǎn)生共享配對(duì)密鑰。

      此外，設(shè)備還必須統(tǒng)一所使用的橢圓曲線參數(shù)。然而之前涉及‘無(wú)效曲線攻擊’的工作表明，ECDH 參數(shù)在用于計(jì)算結(jié)果和共享密鑰之前，并不總會(huì)經(jīng)過(guò)驗(yàn)證。

這樣可以減少攻擊者獲取受攻擊設(shè)備私鑰的工作量 —— 如果在計(jì)算被分享的密鑰前，并未部署驗(yàn)證所有參數(shù)的話。

      在某些實(shí)施方法中，橢圓曲線參數(shù)并非全部由加密算法實(shí)現(xiàn)驗(yàn)證。

這使得無(wú)線范圍內(nèi)的遠(yuǎn)程攻擊者們，可以通過(guò)注入無(wú)效的公鑰，從而高概率地確定會(huì)話密鑰。然后這些攻擊者可以被動(dòng)地?cái)r截和解密所有設(shè)備信息，或者偽造和注入惡意消息。

      蘋(píng)果、博通、英特爾和高通公司，已經(jīng)確認(rèn)藍(lán)牙實(shí)施和操作系統(tǒng)驅(qū)動(dòng)程序?qū)用娑际艿搅擞绊憽?/p>

萬(wàn)幸的是，前三家公司已經(jīng)發(fā)布了針對(duì)該漏洞的修補(bǔ)程序。至于高通，該公司發(fā)言人在一封致 Bleeping Computer 的電子郵件中稱，他們也已經(jīng)部署了修復(fù)程序。

CERT / CC 專家尚未確定 Android / Google 設(shè)備、或者 Linux 內(nèi)核是否也受到了影響。不過(guò)微軟表示，自家設(shè)備并未受到本次 Crypto Bug 的影響。

      負(fù)責(zé)監(jiān)督藍(lán)牙標(biāo)準(zhǔn)發(fā)展的 SIG 也發(fā)表了一份聲明：

為了使攻擊成功，攻擊設(shè)備需要處于兩個(gè)易受攻擊的藍(lán)牙設(shè)備的無(wú)線范圍內(nèi)。如果只有一方設(shè)備存在漏洞，則攻擊不會(huì)得逞。

此外攻擊設(shè)備需要通過(guò)阻止每一次的傳輸、向發(fā)送設(shè)備確認(rèn)，然后在窄時(shí)間窗口內(nèi)將惡意數(shù)據(jù)包注入接收設(shè)備，才能攔截公鑰交換。

      SIG 表示，該組織已經(jīng)更新了官方的藍(lán)牙規(guī)范，要求所有配對(duì)設(shè)備驗(yàn)證用于基于密鑰的加密藍(lán)牙連接的所有參數(shù)，即便當(dāng)前暫無(wú)野外攻擊的報(bào)道。

至于 CVE-2018-5383 的補(bǔ)丁，將通過(guò)操作系統(tǒng)或驅(qū)動(dòng)程序的更新（面向臺(tái)式機(jī)、筆記本電腦、智能手機(jī)），或者通過(guò)固件來(lái)實(shí)現(xiàn)（面向物聯(lián)網(wǎng) / 智能設(shè)備）。

來(lái)源：cnBeta

標(biāo)簽： Google linux 安全 電子郵件 漏洞 通信

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。