Bluetooth® Hauptverhandlungsanfälligkeit

Dokumentation

Produktinformationen und Dokumente

000055198

19.10.2020

Sicherheitsforscher haben eine Schwachstelle bei Bluetooth festgestellt® wichtige Verhandlungen im Koordinationszentrum CERT und Bluetooth® Zulieferindustrie. 

Die neu durchgeführten Forschungen zu einer branchenweiten Sicherheitslücke von Informatikern an der University of Oxford werden auf dem Usenix Security Symposium, das am 14-16. August 2019 stattfindet, öffentlich veröffentlicht. Diese Forschung, die als "Bluetooth® Hauptverhandlungslücke" oder "Knopf" bezeichnet wird, beschreibt eine branchenweite Schwachstelle, die sich auf die Verschlüsselungsschlüssel-Verhandlung von Bluetooth® Basistarif/Enhanced Data Rate (BR/EDR) auswirkt. Diese Schwachstelle hat keinen Einfluss auf Bluetooth® Low Energy (BLE). Intel Produkte, die Bluetooth BR/EDR unterstützen, gehören zu den von dieser branchenweiten Schwachstelle betroffenen Unternehmen. Wir erwarten, dass Abmilderung, die diese Schwachstelle beheben, bereits zur Verfügung gestellt wurden (von den Anbietern von BS).

Als Teilnehmer der Bluetooth Special Interest Group arbeiten wir eng mit der SIG und anderen Teilnehmern von SIG, um die Risikominderung zu entwickeln. Der Schutz unserer Kunden und die Gewährleistung der Sicherheit unserer Produkte sind für Intel eine entscheidende Priorität.

Betroffene Produkte:

  • Intel® Wireless-AC Produkte (3000-Reihe, 7000, 8000, 9000, Serie)
  • Intel® Wi-Fi 6 Produkte (AX200, AX201)
  • Intel® Wireless Gigabit Produkte (17000-Reihe, 18000)
  • Intel® Atom C3200 Prozessorreihe

Intel empfiehlt, dass Endbenutzer und Systemadministratoren Aktualisierungen anwenden, während Sie verfügbar gemacht werden, und dass Sie im allgemeinen gute Sicherheitspraktiken befolgen.

Q & A

Q1. Was ist die Schwachstelle?
Eine neue Schwachstelle wurde während der "Bluetooth® BR T/EDR (Basistarif/Enhanced Data Rate)"-Verhandlungsverfahren entdeckt. Ein Angreifer mit physischer Nähe (in der Regel innerhalb von 30 Metern) oder Sichtlinie kann unberechtigten Zugriff über ein angrenzendes Netz erlangen und den Datenverkehr abfangen, um gefälschte Verhandlungsmeldungen zwischen zwei anfälligen Bluetooth Geräten zu senden.

€. Was sind die Folgen, wenn ein Bluetooth aktiviertem Gerät aufgrund dieser Schwachstelle kompromittiert wird?
Dies kann zur Offenlegung von Informationen, zur Erhöhung des Privilegs und/oder der Diensteverweigerung führen. So können beispielsweise Bluetooth Headsets oder Keyboards Ihre Daten erfassen oder ändern.

Dritten. Kann die Schwachstelle ausgenutzt werden, wenn nur eines der beiden Geräte, die angeschlossen sind, anfällig ist?
Nein. Beide Geräte müssen anfällig sein. Wenn eine (oder beide) der Geräte nicht verwundbar ist (sind), wird der Angriff während der Hauptverhandlung fehlschlagen.

BIP. Was unternimmt Intel, um diese Bluetooth® Schwachstelle zu beheben?
Dies ist ein Problem mit der Branchenspezifikation. Intel kooperiert mit anderen Mitgliedern der Bluetooth Special Interest Group (SIG), um die Bluetooth Core Spezifikationsspezifikationen zu stärken.

Q5. Was ist die erwartete Risikominderung für diese Schwachstelle?
Die Bluetooth SIG arbeitet an der Aktualisierung der BT Specification, um dieses Problem zu beheben, und das Betriebssystem und Bluetooth aktivierte Geräteanbieter arbeiten bereits an Abmilfungen.

Q6. Wann werden diese Abmilfungen bezugsfertig sein?
Intel wird im Auftrag Dritter nicht kommentiert, wenden Sie sich bitte an Ihr Betriebssystem oder den Geräteanbieter. Intel hat bereits die Abschwächung für den bluez Stack öffentlich zur Verfügung gestellt. Bluez ist das offizielle "Linux Bluetooth Protocol Stack" und bietet Unterstützung für die Core Bluetooth Layers und Protokolle. Die Unterstützung für BLUEZ findet sich in vielen Linux-Distributionen und ist in der Regel mit jedem Linux-System auf dem Markt kompatibel. Die Einführung der bluez Minderung in einzelnen Linux-Distributionen kann unterschiedlich sein.

 

Weitere Informationen finden Sie unter:
Intel® Bluetooth® Sicherheit – Verschlüsselung-Hauptgröße Empfehlung
Einblicke in die Zone von Intel® Developer

Wenn Sie zusätzliche Unterstützung benötigen, wenden Sie sich an den Intel Kundensupport, indem Sie auf den Link unten klicken