vulnerabilità di negoziazione Bluetooth® chiave
I ricercatori di sicurezza hanno identificato una vulnerabilità nella negoziazione Bluetooth® chiave al Centro di coordinamento CERT e al settore dei fornitori Bluetooth®.
Le ricerche recentemente condotte su una vulnerabilità a livello di settore da parte di scienziati informatici dell'Università di Oxford saranno divulgate pubblicamente al SIMPOSIO sulla sicurezza USENIX, che si svolge dal 14 al 16 agosto 2019. Definita "vulnerabilità di negoziazione chiave Bluetooth®" o "KNOB", questa ricerca descrive in dettaglio una vulnerabilità a livello di settore che influisce sulla negoziazione della chiave di crittografia di Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR). Questa vulnerabilità non influisce su Bluetooth® Low Energy (BLE). I prodotti Intel che supportano Bluetooth BR/EDR sono tra quelli interessati da questa vulnerabilità a livello di settore. La nostra aspettativa è che le mitigazioni che affrontano questa vulnerabilità siano già state rese disponibili (dai fornitori del sistema operativo).
In qualità di membro del Bluetooth Special Interest Group, stiamo lavorando a stretto contatto con il SIG e altri membri chiave del SIG per sviluppare mitigazioni. Proteggere i nostri clienti e contribuire a garantire la sicurezza dei nostri prodotti è una priorità fondamentale per Intel.
Prodotti interessati:
- prodotti Intel® Wireless-AC (serie 3000, serie 7000, serie 8000, serie 9000)
- Prodotti Intel® Wi-Fi 6 (AX200, AX201)
- prodotti Intel® Wireless Gigabit (serie 17000, serie 18000)
- Processori Intel® Atom x3-C3200
Intel consiglia agli utenti finali e agli amministratori di sistemi di applicare gli aggiornamenti man mano che vengono resi disponibili e di seguire le buone pratiche di sicurezza in generale.
Domande e domande
Q1. Qual è la vulnerabilità?
Una nuova vulnerabilità è stata scoperta durante la procedura di negoziazione chiave BR/EDR (Basic Rate/Enhanced Data Rate) Bluetooth®. Un utente malintenzionato con vicinanza fisica (di solito entro 30metrii) o una linea visiva può ottenere accesso non autorizzato tramite una rete adiacente e intercettare il traffico per inviare messaggi di negoziazione falsificati tra due dispositivi Bluetooth vulnerabili.
Q2. Quali sono le conseguenze se un dispositivo abilitato Bluetooth viene compromesso a causa di questa vulnerabilità?
Ciò può comportare la divulgazione di informazioni, l'elevazione dei privilegi e/o la negazione del servizio. Ad esempio, le cuffie o le tastiere Bluetooth possono avere i loro dati acquisiti o modificati.
Q3. La vulnerabilità può essere sfruttata se solo uno dei due dispositivi collegati è vulnerabile?
No. Entrambi i dispositivi devono essere vulnerabili. Se uno (o entrambi) dei dispositivi non è (sono) vulnerabili, l'attacco durante la negoziazione chiave avrà esito negativo.
Q4. Cosa sta facendo Intel per risolvere questa vulnerabilità Bluetooth®?
Si tratta di un problema di specifiche del settore. Intel sta collaborando con altri membri del Bluetooth Special Interest Group (SIG) per rafforzare le specifiche Bluetooth Core.
Q5. Qual è la mitigazione prevista per questa vulnerabilità?
Il Bluetooth SIG sta lavorando all'aggiornamento delle specifiche BT per risolvere questo problema e i fornitori di dispositivi abilitati per il sistema operativo e Bluetooth stanno già lavorando alle mitigazioni.
Q6. Quando saranno pronte queste mitigazioni?
Intel non commenta per conto di terze parti, contattare il proprio sistema operativo o fornitore di dispositivi. Intel ha già reso pubblicamente disponibile la mitigazione per lo stack BlueZ. BlueZ è lo stack ufficiale del protocollo Bluetooth Linux e fornisce supporto per i livelli e i protocolli Bluetooth principali. Il supporto per BlueZ può essere trovato in molte distribuzioni Linux ed è generalmente compatibile con qualsiasi sistema Linux sul mercato. L'adozione della mitigazione BlueZ nelle singole distribuzioni Linux può variare.
Ulteriori dettagli disponibili all'indirizzo:
Intel® Bluetooth® Security - Raccomandazione per le dimensioni delle chiavi di crittografia
Informazioni sulla zona degli sviluppatori Intel®
Se hai bisogno di ulteriore assistenza, contatta il Supporto Clienti Intel facendo clic sul link qui sotto.
