法国Sécurité des Systèmes d’information (ANSSI)国家安全局(agency of national ale de la Sécurité des Systèmes d’information)已经向蓝牙SIG披露了三个与蓝牙®核心规范相关的漏洞报告. 下面是这些漏洞的简要总结:
密码输入协议中的模拟:(cve - 2020 - 26558) (VU#799380.8 TLP:琥珀色)
安全简单配对(SSP)中使用的Passkey Entry协议, 蓝牙核心规范的安全连接(SC)和LE安全连接(LESC)很容易受到模拟攻击,攻击者可以在事先不知道密码的情况下模拟发起设备.
影响规格:
- BR/EDR蓝牙核心规范.1到5.2
- 蓝牙核心规范中的BR/EDR安全简单配对.1到5.2
- 蓝牙核心规范中的BR/EDR安全连接配对.1到5.2
- LE蓝牙核心规范.2到5.2
- 蓝牙核心规范中的LE安全连接配对.2到5.2
LE遗留配对协议的认证:(VU#799380.5 张力腿平台:琥珀色)
蓝牙LE Legacy配对过程的身份验证属性很容易受到反射攻击. 远程攻击者在不知道令牌密钥的情况下可以完成身份验证协议.
影响规格:
- LE蓝牙核心规范.0+
- 蓝牙核心规范版本4中的LE Legacy配对认证.0到5.2
PIN配对协议中的模仿:(cve - 2020 - 26555) (VU#799380.7 张力腿平台:琥珀色)
蓝牙BR/EDR PIN配对过程很容易受到模仿攻击. 当攻击者使用被攻击设备的地址连接到被攻击设备时,被攻击者发起配对, 攻击者可以在不知道密钥的情况下反映加密后的时间点.
影响规格:
- 蓝牙特定1.0+
- 蓝牙核心规范版本中的BR/EDR pin-code配对.0 b到5.2
我们认真对待安全问题, 我们目前正在努力缓解这些问题,并为客户提供解决方案. 我们已经确定这个漏洞会影响我们的一些网络产品. 本页面将提供最新的见解,并可能不时更新.
