Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数OSやファームウェアでBluetooth実装に脆弱性 - 盗聴や改ざんのおそれ

複数のOSやファームウェアにおけるBluetoothの実装に脆弱性が存在し、通信が盗聴されたり、改ざんされるおそれがあることがわかった。

デバイス間のペアリングにおいて暗号化された通信を行うために「楕円曲線Diffie-Hellman(ECDH)鍵共有」を用いる際、一部の実装で楕円曲線のパラメータを必ずしも検証しない脆弱性「CVE-2018-5383」が判明した。イスラエル工科大学の研究者が指摘した。

脆弱なデバイス間では、無線通信範囲内の攻撃者により、リモートからマンインザミドル(MITM)攻撃によって悪意ある公開鍵が注入され、セッションで利用する暗号鍵を決定されてしまい、通信の傍受や改ざんが行われるおそれがある。

「Bluetooth Secure Simple Pairing(SSP)」と「Bluetooth Low Energy」の双方に影響があるという。同問題を受けてBluetooth SIGでは、Bluetoothの仕様を更新。受信した公開鍵の検証を求めている。

CERT/CCによると、7月23日の時点で「Apple」「Intel」「QUALCOMM」などの製品に影響があることが判明しており、今後各ベンダーよりアップデートが提供されるとして、注意を呼びかけている。

20180724_bt_001.jpg
影響を受けるベンダー(表:CERT/CC)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Apple Magic Keyboard」に脆弱性 - 通信傍受のおそれ
Apple、「macOS Sonoma 14.2」をリリース - 脆弱性40件に対応
Apple、「iOS 17.2」などを公開 - 複数脆弱性を修正
MS、11月の月例セキュリティパッチを公開 - 複数ゼロデイ脆弱性を修正
「VMware Workstation」や「VMware Fusion」に脆弱性 - アップデートが公開
「AirPods」などApple製ヘッドフォンに脆弱性 - なりすましのおそれ
「VMware Workstation」「同Fusion」に深刻な脆弱性 - アップデートをリリース
MS、2022年最後の月例パッチを公開 - ゼロデイ脆弱性にも対応
Apple、「iOS 16.1」「iPadOS 16」を公開 - ゼロデイ脆弱性を修正
会議室用ウェブカメラに脆弱性、詳細も公開 - 米政府は悪用脆弱性リストに追加