一个研究小组已经公布了蓝牙中的漏洞,该漏洞可能会影响几乎所有支持无线通信协议的设备。11月,芯片制造商意识到了所谓的蓝牙密钥协商(KNOB)攻击。黑莓和谷歌已宣布针对Android设备的补丁。
简而言之,当两个设备配对时,在加密密钥生成过程中会发生漏洞。具体地说,在传输过程中模糊密钥的熵负载是以未加密的方式协商的,并且很容易受到中间人攻击或注入蓝牙芯片固件的错误代码的干扰。这些设备可以被欺骗以同意熵负载一样小 – 如蓝牙规范所规定 – 1字节,从而使得强制加密密钥变得相对容易。主机设备不知道密钥协商过程,只知道生成的密钥。
此问题不会影响蓝牙低功耗连接。
新加坡科技设计大学的Daniele Antonioli,亥姆霍兹信息安全中心的Nils Ole Tipphenhauer和牛津大学的Kasper B. Rasmussen测试了来自Broadcom,Qualcomm,Apple,Intel和Chicony的17种独特芯片。他们容易受到攻击。CVE-2019-9506可供检查。
如上所述,BlackBerry修补了其支持6月更新的Android设备。谷歌还修复了8月5日级别补丁的问题,并为它的Pixel手机添加了8月1日级别更新修复程序 – 不幸的是,其他早期采用Android安全更新的用户在8月1级补丁中并不安全,但是至少他们会比其他OEM更好地照顾。