上周，藍(lán)牙技術(shù)聯(lián)盟（Bluetooth SIG）宣布更新藍(lán)牙規(guī)范，以應(yīng)對(duì)和Secure Simple Pairing和LE Secure Connections相關(guān)的安全漏洞。本文將簡(jiǎn)單說(shuō)明此一安全漏洞，以及其帶來(lái)的影響，并介紹Silicon Labs（亦稱(chēng)“芯科科技”）旗下不受此安全漏洞影響的EFR32TMWireless Gecko無(wú)線(xiàn)SoC和模塊系列產(chǎn)品。

最新藍(lán)牙規(guī)范要求驗(yàn)證配對(duì)密鑰

根據(jù)藍(lán)牙SIG以色列理工學(xué)院的研究人員發(fā)現(xiàn)，該規(guī)范建議，但不要求支持這些功能的設(shè)備驗(yàn)證與新設(shè)備配對(duì)時(shí)通過(guò)無(wú)線(xiàn)方式接收的公鑰。藍(lán)牙SIG現(xiàn)已更新藍(lán)牙規(guī)范，要求驗(yàn)證此類(lèi)密鑰。

在開(kāi)始連接時(shí)，當(dāng)配對(duì)藍(lán)牙設(shè)備時(shí)，設(shè)備使用相互身份驗(yàn)證來(lái)保證連接的安全。藍(lán)牙SIG在此相互身份驗(yàn)證期間發(fā)現(xiàn)了公鑰驗(yàn)證的參考實(shí)現(xiàn)中的安全漏洞（https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update）。

這意味著攻擊者可以在配對(duì)過(guò)程中執(zhí)行中間人攻擊，即使對(duì)于經(jīng)過(guò)驗(yàn)證的配對(duì)方案（如數(shù)字比較或密鑰輸入）也是如此。這允許攻擊者收聽(tīng)和/或修改配對(duì)連接上的所有通信。

SiliconLabs提供高安全性的藍(lán)牙SoC和模塊

我們的EFR32 Wireless Gecko系列產(chǎn)品（Blue Gecko和Mighty Gecko）并不受此問(wèn)題的影響，因?yàn)樗鼈兝昧藳](méi)有此漏洞的mbedTLS ECDH方案；同時(shí)，我們的藍(lán)牙模塊產(chǎn)品BLE112、BLE113、BLE121LR和BLED112系列也不受影響，因?yàn)樗鼈兾窗寺┒吹墓δ堋４送猓琒ilicon Labs的藍(lán)牙Classic產(chǎn)品（包括BT111和WTxx模塊）也都不受此漏洞的影響。

我們將在今年持續(xù)改良軟硬件設(shè)計(jì)，以確保提供一個(gè)可以完全防范此漏洞的補(bǔ)丁。