微軟封鎖Windows PC和不安全的藍牙版FIDO金鑰的配對

有鑒於藍牙版本安全金鑰的安全性問題，微軟周二發出安全公告指出，將封鎖有漏洞的藍牙（BLE）FIDO安全金鑰和Windows PC的配對。

近日BLE版FIDO硬體安全金鑰爆發漏洞CVE-2019-2102。這項漏洞出自藍牙配對協定的組態錯誤。在BLE 規格中有一個長期金鑰（Long Term Key，LTK）示範樣本，如果BLE裝置採用此樣本來寫成LTK，理論上，位於藍牙裝置附近的攻擊者可以用他的裝置（手機或筆電）搶先用戶一步連接BLE金鑰來登入用戶帳戶，或是用其裝置冒充BLE金鑰來連上用戶的裝置，進一步在受害裝置上輸入指令或刪改資料。

為此，微軟已經在周二（6月11日）釋出的每月例行安全更新中，封鎖問題產品與Windows的配對。

CVE-2019-2102即是和上個月Titan藍牙版安全金鑰發現的同一漏洞，促使Google回收並換新產品。受到該漏洞影響的產品，包括Google Titan藍牙版安全金鑰及中國廠商Feitian出品的MultiPass FIDO Security Key部份型號。Google也在上周於Android更新中修補了CVE-2019-2102。

微軟建議用戶應儘速安裝6月的Windows安全更新，並隨時注意Google Android及Feitian的安全公告。