Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数OSやファームウェアでBluetooth実装に脆弱性 - 盗聴や改ざんのおそれ

複数のOSやファームウェアにおけるBluetoothの実装に脆弱性が存在し、通信が盗聴されたり、改ざんされるおそれがあることがわかった。

デバイス間のペアリングにおいて暗号化された通信を行うために「楕円曲線Diffie-Hellman(ECDH)鍵共有」を用いる際、一部の実装で楕円曲線のパラメータを必ずしも検証しない脆弱性「CVE-2018-5383」が判明した。イスラエル工科大学の研究者が指摘した。

脆弱なデバイス間では、無線通信範囲内の攻撃者により、リモートからマンインザミドル(MITM)攻撃によって悪意ある公開鍵が注入され、セッションで利用する暗号鍵を決定されてしまい、通信の傍受や改ざんが行われるおそれがある。

「Bluetooth Secure Simple Pairing(SSP)」と「Bluetooth Low Energy」の双方に影響があるという。同問題を受けてBluetooth SIGでは、Bluetoothの仕様を更新。受信した公開鍵の検証を求めている。

CERT/CCによると、7月23日の時点で「Apple」「Intel」「QUALCOMM」などの製品に影響があることが判明しており、今後各ベンダーよりアップデートが提供されるとして、注意を呼びかけている。

20180724_bt_001.jpg
影響を受けるベンダー(表:CERT/CC)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

ソニー製ワイアレスヘッドホンに脆弱性 - 第三者がペアリングするおそれ
低消費電力通信「Bluetooth」に複数脆弱性 - なりすまし攻撃「BIAS」が判明
レクサスなど複数トヨタ車DCUに「BlueBorne」脆弱性
Apple、「iOS 13.4」「iPadOS 13.4」をリリース
Apple、「macOS Catalina 10.15.3」やセキュリティ更新を公開
「Chrome 79」では深刻な脆弱性2件含む51件の修正を実施
KeyWe製スマートロックに深刻な脆弱性 - 更新未対応で修正できず
「Chrome 78.0.3904.108」が公開 - セキュリティ関連で修正5件
Apple、「iOS 13.1.2」をリリース - 2週間弱で3度の更新
「Bluetooth」に暗号化強度下げる「KNOB攻撃」が判明