Bluetooth® Hauptanfälligkeit bei Absprachen
Sicherheitsforscher haben eine Schwachstelle in Bluetooth® Key Negotiation für das CERT-Technologiezentrum und die Bluetooth® Zulieferbranche identifiziert.
Vom 14. bis 16. August 2019 wird eine neu von Computerwissenschaftlern an der University of Oxford durchgeführte Forschung zu einer branchenweiten Schwachstelle öffentlich veröffentlicht. Diese Forschung, die als "Bluetooth® Key Negotiation Vulnerability" (Sicherheitslücke bei wichtigen Absprachen) bezeichnet wird, beschreibt eine branchenweite Schwachstelle, die sich auf die Verschlüsselungsschlüsselverhandlung von Bluetooth® Basic Rate/Enhanced Data Rate (BR/EDR) auswirkt. Diese Schwachstelle wirkt sich nicht auf Bluetooth® Low Energy (BLE) aus. Intel Produkte, die Bluetooth BR/EDR unterstützen, gehören zu den von dieser branchenweiten Schwachstelle betroffenen Produkten. Wir erwarten, dass maßnahmen gegen diese Schwachstelle bereits (von Betriebssystemanbietern) Maßnahmen zur Verfügung gestellt wurden.
Als Mitglied der Bluetooth Special Interest Group arbeiten wir eng mit dem SIG und anderen wichtigen SIG-Mitgliedern zusammen, um Maßnahmen zur Risikominderung zu entwickeln. Der Schutz unserer Kunden und die Gewährleistung der Sicherheit unserer Produkte hat für Intel eine entscheidende Priorität.
Betroffene Produkte:
- Intel® Wireless-AC (Produktreihe 3000, 7000, 8000, 9000)
- Intel® Wi-Fi 6-Produkte (AX200, AX201)
- Intel® Wireless Gigabit (Produktreihe 17000, 18000)
- Intel® Atom x3-C3200 Prozessoren
Intel empfiehlt Endbenutzern und Systemadministratoren, bei ihrer Bereitstellung Updates anzuwenden und im Allgemeinen gute Sicherheitspraktiken zu befolgen.
Fragen und Antworten
Q1. Was ist die Schwachstelle?
Im Rahmen des wichtigen Abspracheverfahrens Bluetooth® BR/EDR (Basic Rate/Enhanced Data Rate) wurde eine neue Schwachstelle gefunden. Ein Angreifer in körperlicher Nähe (in der Regel innerhalb von 30 Metern) oder Sichtlinie kann unbefugten Zugriff über ein angrenzendes Netzwerk erhalten und den Datenverkehr abfangen, um gefürchtete Absprachenachrichten zwischen zwei gefährdeten Bluetooth-Geräten zu senden.
2. Quartal Was sind die Folgen, wenn ein Bluetooth-fähiges Gerät aufgrund dieser Schwachstelle gefährdet wird?
Dies kann zur Offenlegung von Informationen, zur Erhöhung von Privilegien und/oder zur Dienstverweigerung führen. Beispielsweise können Bluetooth-Kopfhörer oder Tastaturen ihre Daten erfassen oder ändern lassen.
3. Quartal. Kann die Schwachstelle ausgebeutet werden, wenn nur eines der beiden angeschlossenen Geräte anfällig ist?
Nein. Beide Geräte müssen anfällig sein. Wenn eines (oder beide) Geräte nicht anfällig sind, schlägt der Angriff während der Wichtigen Absprache fehl.
Q4. Was unternimmt Intel, um diese Bluetooth® Schwachstelle zu beheben?
Dies ist ein Branchenspezifikationsproblem. Intel arbeitet mit anderen Mitgliedern der Bluetooth Special Interest Group (SIG) zusammen, um die Spezifikation für Bluetooth-Cores zu stärken.
Q5. Was ist die erwartete Risikominderung für diese Schwachstelle?
Der Bluetooth SIG arbeitet an der Aktualisierung der BT-Spezifikation, um dieses Problem zu beheben, und die Anbieter von Betriebssystemen und Bluetooth-fähigen Geräten arbeiten bereits an Maßnahmen zur Risikominderung.
6. Quartal Wann werden diese Maßnahmen zur Risikominderung bereit sein?
Intel kommentiert keine Kommentare im Auftrag Dritter. Wenden Sie sich bitte an Ihren Betriebssystem- oder Geräteanbieter. Intel hat die Risikominderung für den BlueZ-Stack bereits öffentlich verfügbar gemacht. BlueZ ist der offizielle Linux Bluetooth Protokollstapel und unterstützt die Bluetooth-Kernebenen und -Protokolle. Unterstützung für BlueZ gibt es in vielen Linux-Distributionen und ist im Allgemeinen mit jedem auf dem Markt erhältlichen Linux-System kompatibel. Die Einführung der BlueZ-Risikominderung in einzelnen Linux-Distributionen kann variieren.
Weitere Einzelheiten finden Sie unter:
Intel® Bluetooth® Sicherheit – Empfehlung für die Größe des Verschlüsselungsschlüssels
Einblicke in die Intel® Developer's Zone
Wenn Sie weitere Hilfe benötigen, wenden Sie sich an den Intel Kundensupport, indem Sie auf den unten stehenden Link klicken.
