Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数OSやファームウェアでBluetooth実装に脆弱性 - 盗聴や改ざんのおそれ

複数のOSやファームウェアにおけるBluetoothの実装に脆弱性が存在し、通信が盗聴されたり、改ざんされるおそれがあることがわかった。

デバイス間のペアリングにおいて暗号化された通信を行うために「楕円曲線Diffie-Hellman(ECDH)鍵共有」を用いる際、一部の実装で楕円曲線のパラメータを必ずしも検証しない脆弱性「CVE-2018-5383」が判明した。イスラエル工科大学の研究者が指摘した。

脆弱なデバイス間では、無線通信範囲内の攻撃者により、リモートからマンインザミドル(MITM)攻撃によって悪意ある公開鍵が注入され、セッションで利用する暗号鍵を決定されてしまい、通信の傍受や改ざんが行われるおそれがある。

「Bluetooth Secure Simple Pairing(SSP)」と「Bluetooth Low Energy」の双方に影響があるという。同問題を受けてBluetooth SIGでは、Bluetoothの仕様を更新。受信した公開鍵の検証を求めている。

CERT/CCによると、7月23日の時点で「Apple」「Intel」「QUALCOMM」などの製品に影響があることが判明しており、今後各ベンダーよりアップデートが提供されるとして、注意を呼びかけている。

20180724_bt_001.jpg
影響を受けるベンダー(表:CERT/CC)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

Apple、「macOS Big Sur 11.1」を公開 - 「Catalina」「Mojave」向けにもアップデート
Linuxに脆弱性「BleedingTooth」が判明 - 近接環境からコード実行のおそれ
「Bluetooth」に脆弱性「BLURtooth」が判明 - 認証キー上書きのおそれ
「iOS 13.6」「iPadOS 13.6」が公開 - 脆弱性29件を修正
ソニー製ワイアレスヘッドホンに脆弱性 - 第三者がペアリングするおそれ
低消費電力通信「Bluetooth」に複数脆弱性 - なりすまし攻撃「BIAS」が判明
レクサスなど複数トヨタ車DCUに「BlueBorne」脆弱性
Apple、「iOS 13.4」「iPadOS 13.4」をリリース
Apple、「macOS Catalina 10.15.3」やセキュリティ更新を公開
「Chrome 79」では深刻な脆弱性2件含む51件の修正を実施