受到BLE版FIDO硬體安全金鑰漏洞影響的產品:右一是Google Titan藍牙版安全金鑰,其他三款是中國廠商Feitian生產的MultiPass FIDO Security Key。(圖片來源/Google、Feitian)

有鑒於藍牙版本安全金鑰的安全性問題,微軟周二發出安全公告指出,將封鎖有漏洞的藍牙(BLE)FIDO安全金鑰和Windows PC的配對。

近日BLE版FIDO硬體安全金鑰爆發漏洞CVE-2019-2102。這項漏洞出自藍牙配對協定的組態錯誤。在BLE 規格中有一個長期金鑰(Long Term Key,LTK)示範樣本,如果BLE裝置採用此樣本來寫成LTK,理論上,位於藍牙裝置附近的攻擊者可以用他的裝置(手機或筆電)搶先用戶一步連接BLE金鑰來登入用戶帳戶,或是用其裝置冒充BLE金鑰來連上用戶的裝置,進一步在受害裝置上輸入指令或刪改資料。

為此,微軟已經在周二(6月11日)釋出的每月例行安全更新中,封鎖問題產品與Windows的配對。

CVE-2019-2102即是和上個月Titan藍牙版安全金鑰發現的同一漏洞,促使Google回收並換新產品。受到該漏洞影響的產品,包括Google Titan藍牙版安全金鑰及中國廠商Feitian出品的MultiPass FIDO Security Key部份型號。Google也在上周於Android更新中修補了CVE-2019-2102。

微軟建議用戶應儘速安裝6月的Windows安全更新,並隨時注意Google AndroidFeitian的安全公告。


Advertisement

更多 iThome相關內容