各种蓝牙装置越来越多,同时也越来越多关于蓝牙的安全性问题暴露在众人目光之中,近日 Microsoft 发出公告将封锁有安全疑虑的低功耗蓝牙(BLE)设备安全金钥(FIDO)与运行 Windows 10 的电脑设备配对连接,以减少其安全漏洞可能允许不肖人士拦截配对金钥而造成的威胁。
※图片来源:Google
Windows 6 月更新 安装后,将阻止部分蓝牙装置与电脑设备配对
近日来 BLE 版本的 FIDO 硬件安全金钥爆出 CVE-2019-2102 漏洞,在 BLE 规格中存在一个长期金钥范本(LTK),倘若该装置的 LTK 采用此样本编写而成,身在附近的有心人士理论上可以利用他的手机或电脑拦截使用者的 BLE 金钥来登入使用者账户,或是以其他装置假冒成 BLE 金钥连接使用者电脑,进而窜改装置上的资料或输入指令。这项漏洞揭发时,仅有相容于BLE 的 Google Titan 蓝牙安全金钥和中国厂商 Feitian 所推出的 MultiPass FIDO Security Key部分型号 受到影响,而两家公司皆为其用户提供免费更换服务,且 Google 已于 Android 更新中修补了该漏洞,但实际上受到影响的品项想必不只这两种。
※图片来源:Google
Microsoft 释出的 6 月例行安全性更新中,则对有问题的 BLE 产品进行配对封锁,Microsoft 表示任何使用众所周知的金钥加密连接的设备都可能被禁用,该公司也为其设备可能受影响的使用者提供了一些资源。首先,下面这些更新项目阻止了不安全设备的配对:
KB4503293 或更高版本的 LCU for Windows 10,版本 1903
KB4503327 或更高版本用于 Windows 10,版本 1809 和 Windows Server 2019 的 LCU
KB4503286 或更高版本用于 Windows 10 的版本,版本 1803
KB4503284 或更高版本适用于 Windows 10,版本 1709的 LCU
KB4503279 或更高版本适用于 Windows 10,版本 1703 的LCU
KB4503267 或更高版本适用于 Windows 10,版本 1607 和 Windows Server 2016 的 LCU
KB4503291 或更高版本的 LCU for Windows 10,版本 1507
KB4503276 或更高版本 Windows 8.1和Windows Server 2012 R2 的月度汇总
KB4503285 或更高版本 Windows Server 2012 和 Windows Embedded 8 Standard 的月度汇总
KB4503290适用于Windows 8.1和Windows Server 2012 R2。
适用于 Windows Server 2012 和 Windows Embedded 8 Standard 的 KB4503263
※图片来源:Feitian
Microsoft 强烈建议使用者安装 Windows 6 月更新,但想必有人还是会因为必要使用的蓝牙设备而选择延迟更新,目前还不晓得受到影响的设备究竟有多少,但以目前情况看来,问题主要出在 BLE 设备端而非电脑系统,阻止配对对于保护大量使用者来说还是有其功效。如果你手边的 BLE 设备出现无法与电脑设备连线的问题,但又非用不可的状况下,你可以有三种选择:
1. 查看该 BLE 设备制造商网站上是否有可用的固件更新,下载并安装
2. 卸除最近的安全性更新以继续使用 BLE 设备(安全性考量上极度不建议)
3. 静候解决方式,同时避免使用该 BLE 设备
◎资料来源:SoftPedia
