来源 :飞天诚信2024-01-04
近日,国家信息安全漏洞共享平台(CNVD)收录了蓝牙协议中间人攻击漏洞(CNVD-2023-98846,对应CVE-2023-24023)。攻击者利用漏洞通过欺骗性的配对或绑定设备强制使用较短的加密密钥长度,破坏蓝牙设备会话的安全验证机制。目前,漏洞技术原理已公开,CNVD建议受漏洞影响的设备厂商和用户加强安全防范措施。
法国 EURECOM 安全研究员兼助理教授Daniele Antonioli发现了蓝牙BR/EDR设备的安全连接配对和安全简单配对的核心规范存在安全漏洞。位于目标设备有效蓝牙传输距离内的攻击者利用上述漏洞,通过捕获和伪造蓝牙会话数据包,可对目标会话发起中间人攻击(BLUFFS)。BLUFFS攻击能够破坏蓝牙配对设备的会话身份验证机制,通过使用欺骗性的配对或绑定设备强制使用较短的加密密钥长度,继而破坏蓝牙通信会话的保密性和完整性。
该漏洞影响的产品和版本为:蓝牙协议核心规范,版本范围为4.2(2014年12月发布)至5.4(2023年2月发布)。目前,负责蓝牙标准开发和技术许可的蓝牙技术联盟(SIG,Special Interest Group)已发布安全防范措施。
蓝牙(Bluetooth)是一种支持设备短距离通信的无线电通信协议,目前已成为全球通用的开放性技术规范,广泛应用于个人终端、车载娱乐、工业生产和医药医疗领域。蓝牙设备的有效传输距离一般小于10米,其通信质量易受障碍物的影响。飞天诚信的多款产品支持蓝牙协议,但均在蓝牙协议基础上追加了自主知识产权的安全配对技术。因此,尽管蓝牙协议被曝存在安全漏洞,但飞天诚信支持蓝牙协议的产品是安全可信的。
例如,bInterPass3000(“蓝牙二代key”)是飞天诚信自主研发的二代Key 身份认证产品,内置高安全智能卡芯片,带有 LCD 或 OLED 液晶显示屏,支持Micro USB 接口,可通过蓝牙接口连接到智能手机、平板电脑上,保障移动交易的安全性、可靠性,并有效防止被黑客盗取交易信息的风险,是移动支付用户的理想选择,该产品在PC 端和移动端均可使用。PC 端使用USB 通信,支持USB 2.0及以上协议。移动端采用蓝牙通信,支持BLE4.0 及以上协议。利用二代key产品具有按键和显示屏的特点,飞天诚信在蓝牙协议基础上使用了自主知识产权的安全配对方案(发明专利ZL201610423079.8“一种控制数据交互的设备、系统及其工作方法”),终端设备与蓝牙key建立连接后,生成随机数并显示;终端设备将随机数发送给蓝牙key并等待接收蓝牙key返回的数据;蓝牙key接收到随机数后显示并提示用户进行确认;当蓝牙key检测到按键被按下时将对应的数据返回给终端设备;终端设备判断接收到的数据是否为预定值,是则开始与蓝牙key进行正常数据交互,否则断开与蓝牙key的连接。该专利技术方案通过增加用户比对随机数的过程,保证了用户手里的蓝牙key可以被目标终端设备连接上,提高了终端设备与蓝牙key进行正常数据交互的安全性。
对于一般的蓝牙设备,飞天诚信也研发了自主知识产权的技术方案。例如,对于带有单个按键和指示灯的蓝牙设备,发明专利ZL201811610953.4 “一种实现蓝牙设备安全配对的方法、系统及蓝牙设备”,在手机输入蓝牙设备的PIN码,蓝牙设备在用户按键后将确认消息反馈给手机,在兼容现有蓝牙协议的同时增强了配对的安全性。此外,发明专利ZL201811610953.4“一种实现蓝牙设备安全配对的方法、系统及蓝牙设备”在蓝牙协议的基础上增加了双向认证,适用于各种类型的蓝牙设备等。