Android Authorityによると、この脆弱性を悪用する方法に関する公開された情報には、2つのデバイス間のBluetooth暗号化キーを積極的に攻撃する比較的簡単な方法が示されている。攻撃が成功すれば、攻撃者はデバイスになりすまして機密データにアクセスできる可能性がある。
数十億ものデバイスがBluetooth 4.2プロトコルを使用している。
この脆弱性を悪用する攻撃は、Bluetooth 4.2以降を搭載したあらゆるデバイスで、少なくとも部分的には機能するようです。Bluetooth 4.2のサポートが2014年末に実装されたことを考えると、理論的にはほとんどの最新のBluetoothデバイスでこの攻撃が機能する可能性があります。
EURECOMは、これらの攻撃を6つの異なるスタイルに分類し、それらすべてを「BLUFFS」という頭文字で表した。報告書の中で、EURECOMはこれらの攻撃でなりすまし可能なデバイスと、6種類の攻撃それぞれの成功率を示す表を提示した。
Bluetooth Special Interest Group(SIG)は、規格開発を監督する非営利団体であり、EURECOMの調査結果を認めた。同団体はセキュリティ速報の中で、製品にBluetooth技術を導入するメーカーに対し、この攻撃を防ぐために厳格なセキュリティプロトコルを遵守するよう勧告した。しかし、今後の接続規格のバージョンでEURECOMが発見した脆弱性が修正されるかどうかについては言及しなかった。最新のBluetooth規格は2023年2月にリリースされたv5.4である。
ソースリンク
コメント (0)