上周，藍牙技術聯(lián)盟（Bluetooth SIG）宣布更新藍牙規(guī)范，以應對和Secure Simple Pairing和LE Secure Connections相關的安全漏洞。本文將簡單說明此一安全漏洞，以及其帶來的影響，并介紹Silicon Labs（亦稱“芯科科技”）旗下不受此安全漏洞影響的EFR32TMWireless Gecko無線SoC和模塊系列產(chǎn)品。

最新藍牙規(guī)范要求驗證配對密鑰

根據(jù)藍牙SIG以色列理工學院的研究人員發(fā)現(xiàn)，該規(guī)范建議，但不要求支持這些功能的設備驗證與新設備配對時通過無線方式接收的公鑰。藍牙SIG現(xiàn)已更新藍牙規(guī)范，要求驗證此類密鑰。

在開始連接時，當配對藍牙設備時，設備使用相互身份驗證來保證連接的安全。藍牙SIG在此相互身份驗證期間發(fā)現(xiàn)了公鑰驗證的參考實現(xiàn)中的安全漏洞（https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update）。

這意味著攻擊者可以在配對過程中執(zhí)行中間人攻擊，即使對于經(jīng)過驗證的配對方案（如數(shù)字比較或密鑰輸入）也是如此。這允許攻擊者收聽和/或修改配對連接上的所有通信。

SiliconLabs提供高安全性的藍牙SoC和模塊

我們的EFR32 Wireless Gecko系列產(chǎn)品（Blue Gecko和Mighty Gecko）并不受此問題的影響，因為它們利用了沒有此漏洞的mbedTLS ECDH方案；同時，我們的藍牙模塊產(chǎn)品BLE112、BLE113、BLE121LR和BLED112系列也不受影響，因為它們未包含此漏洞的功能。此外，Silicon Labs的藍牙Classic產(chǎn)品（包括BT111和WTxx模塊）也都不受此漏洞的影響。

我們將在今年持續(xù)改良軟硬件設計，以確保提供一個可以完全防范此漏洞的補丁。