KNOB攻擊危及藍(lán)牙安全 但修復(fù)已經(jīng)觸及Android

一個(gè)研究小組已經(jīng)公布了藍(lán)牙中的漏洞，該漏洞可能會(huì)影響幾乎所有支持無線通信協(xié)議的設(shè)備。11月，芯片制造商意識(shí)到了所謂的藍(lán)牙密鑰協(xié)商(KNOB)攻擊。黑莓和谷歌已宣布針對(duì)Android設(shè)備的補(bǔ)丁。

簡而言之，當(dāng)兩個(gè)設(shè)備配對(duì)時(shí)，在加密密鑰生成過程中會(huì)發(fā)生漏洞。具體地說，在傳輸過程中模糊密鑰的熵負(fù)載是以未加密的方式協(xié)商的，并且很容易受到中間人攻擊或注入藍(lán)牙芯片固件的錯(cuò)誤代碼的干擾。這些設(shè)備可以被欺騙以同意熵負(fù)載一樣小 - 如藍(lán)牙規(guī)范所規(guī)定 - 1字節(jié)，從而使得強(qiáng)制加密密鑰變得相對(duì)容易。主機(jī)設(shè)備不知道密鑰協(xié)商過程，只知道生成的密鑰。

此問題不會(huì)影響藍(lán)牙低功耗連接。

新加坡科技設(shè)計(jì)大學(xué)的Daniele Antonioli，亥姆霍茲信息安全中心的Nils Ole Tipphenhauer和牛津大學(xué)的Kasper B. Rasmussen測試了來自Broadcom，Qualcomm，Apple，Intel和Chicony的17種獨(dú)特芯片。他們?nèi)菀资艿焦?。CVE-2019-9506可供檢查。

如上所述，BlackBerry修補(bǔ)了其支持6月更新的Android設(shè)備。谷歌還修復(fù)了8月5日級(jí)別補(bǔ)丁的問題，并為它的Pixel手機(jī)添加了8月1日級(jí)別更新修復(fù)程序 - 不幸的是，其他早期采用Android安全更新的用戶在8月1級(jí)補(bǔ)丁中并不安全，但是至少他們會(huì)比其他OEM更好地照顧。