보안 공지 사항

Bluetooth SIG 'AuthValue 누출' 취약점에 관한 성명서

프랑스 국립 정보 보안 연구소(ANSSI)의 연구원들이 블루투스® 메시 프로필 사양 버전 1.0 및 1.0.1의 프로비저닝과 관련된 보안 취약점을 발견했습니다. 연구진은 인증 값에 대한 액세스 권한 없이 메시 프로비저닝 절차에서 프로비저닝된 공격자가 인증 값을 무차별 대입하지 않고 직접 인증 값을 식별할 수 있다는 사실을 확인했습니다.

엔트로피의 전체 128비트가 있는 임의로 생성된 AuthValue가 사용되더라도, 공격자가 프로퍼비어의 공개 키를 획득하고, 확인 값을 프로비전하고, 임의의 가치를 프로비전하고, 프로비저닝 절차에 사용할 공개 키를 제공하는 경우 사용되는 AuthValue를 직접 계산할 수 있습니다.

Bluetooth SIG 잠재적으로 취약할 수 있는 것을 권장합니다. mesh 프로비저스터는 대역 외 메커니즘을 사용하여 공용 키를 교환합니다.

Bluetooth SIG 또한 이 취약점과 구제에 대한 세부 사항을 광범위하게 전달하고 있습니다. 회원, 회원사 기업과 필요한 패치를 신속하게 통합하도록 장려하고 있습니다.  언제나 처럼, Bluetooth 사용자는 장치 및 운영 체제 제조업체에서 최신 권장 업데이트를 설치했는지 확인해야 합니다.

자세한 내용은 CERT 조정 센터의진술서를 참조하십시오.