有鉴于蓝牙版本安全密钥的安全性问题,微软周二发出安全公告指出,将封锁有漏洞的蓝牙(BLE)FIDO安全密钥和Windows PC的配对。
近日BLE版FIDO硬件安全密钥爆发漏洞CVE-2019-2102。这项漏洞出自蓝牙配对协议的组态错误。在BLE配置中有一个长期密钥(Long Term Key,LTK)示范样本,如果BLE设备采用此样本来写成LTK,理论上,位于蓝牙设备附近的攻击者可以用他的设备(手机或笔记本电脑)抢先用户一步连接BLE密钥来登录用户账户,或是用其设备冒充BLE密钥来连上用户的设备,进一步在受害设备上输入指令或删改数据。
为此,微软已经在周二(6月11日)发布的每月例行安全更新中,封锁问题产品与Windows的配对。
CVE-2019-2102即是和上个月Titan蓝牙版安全密钥发现的同一漏洞,促使Google回收并换新产品。受到该漏洞影响的产品,包括Google Titan蓝牙版安全密钥及中国厂商Feitian出品的MultiPass FIDO Security Key部分型号。Google也在上周于Android更新中修补了CVE-2019-2102。
微软建议用户应尽快安装6月的Windows安全更新,并随时注意Google Android及Feitian的安全公告。