Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数OSやファームウェアでBluetooth実装に脆弱性 - 盗聴や改ざんのおそれ

複数のOSやファームウェアにおけるBluetoothの実装に脆弱性が存在し、通信が盗聴されたり、改ざんされるおそれがあることがわかった。

デバイス間のペアリングにおいて暗号化された通信を行うために「楕円曲線Diffie-Hellman(ECDH)鍵共有」を用いる際、一部の実装で楕円曲線のパラメータを必ずしも検証しない脆弱性「CVE-2018-5383」が判明した。イスラエル工科大学の研究者が指摘した。

脆弱なデバイス間では、無線通信範囲内の攻撃者により、リモートからマンインザミドル(MITM)攻撃によって悪意ある公開鍵が注入され、セッションで利用する暗号鍵を決定されてしまい、通信の傍受や改ざんが行われるおそれがある。

「Bluetooth Secure Simple Pairing(SSP)」と「Bluetooth Low Energy」の双方に影響があるという。同問題を受けてBluetooth SIGでは、Bluetoothの仕様を更新。受信した公開鍵の検証を求めている。

CERT/CCによると、7月23日の時点で「Apple」「Intel」「QUALCOMM」などの製品に影響があることが判明しており、今後各ベンダーよりアップデートが提供されるとして、注意を呼びかけている。

20180724_bt_001.jpg
影響を受けるベンダー(表:CERT/CC)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

Apple、「macOS Mojave 10.14」をリリース - 脆弱性8件に対処
Apple、「iOS 12」をリリース - 複数脆弱性を解消
Intel、多岐にわたるセキュリティアップデート - アドバイザリの確認を
Apple、「macOS High Sierra 10.13.3」などMac向けにセキュリティアップデート
Apple、「iOS 11.2.5」をリリース - 脆弱性13件を修正
ペアリング不要、近隣端末を「Bluetooth」乗っ取れる「BlueBorne」 - 53億台に影響か
Apple、「macOS Sierra 10.12.6」などセキュリティアップデート
Apple、「macOS Sierra 10.12.3」で11件の脆弱性に対応
Bluetoothプロトコルスタック「BlueZ」の付属ユーティリティに脆弱性
Apple、「macOS Sierra 10.12.2」を公開 - 脆弱性71件を解消