上周，藍牙技術(shù)聯(lián)盟（Bluetooth SIG）宣布更新藍牙規(guī)范，以應(yīng)對和Secure Simple Pairing和LE Secure Connections相關(guān)的安全漏洞。本文將簡單說明此一安全漏洞，以及其帶來的影響，并介紹Silicon Labs（亦稱“芯科科技”）旗下不受此安全漏洞影響的EFR32TMWireless Gecko無線SoC和模塊系列產(chǎn)品。

最新藍牙規(guī)范要求驗證配對密鑰

根據(jù)藍牙SIG以色列理工學(xué)院的研究人員發(fā)現(xiàn)，該規(guī)范建議，但不要求支持這些功能的設(shè)備驗證與新設(shè)備配對時通過無線方式接收的公鑰。藍牙SIG現(xiàn)已更新藍牙規(guī)范，要求驗證此類密鑰。

在開始連接時，當(dāng)配對藍牙設(shè)備時，設(shè)備使用相互身份驗證來保證連接的安全。藍牙SIG在此相互身份驗證期間發(fā)現(xiàn)了公鑰驗證的參考實現(xiàn)中的安全漏洞（https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update）。

這意味著攻擊者可以在配對過程中執(zhí)行中間人攻擊，即使對于經(jīng)過驗證的配對方案（如數(shù)字比較或密鑰輸入）也是如此。這允許攻擊者收聽和/或修改配對連接上的所有通信。

SiliconLabs提供高安全性的藍牙SoC和模塊

我們的EFR32 Wireless Gecko系列產(chǎn)品（Blue Gecko和Mighty Gecko）并不受此問題的影響，因為它們利用了沒有此漏洞的mbedTLS ECDH方案；同時，我們的藍牙模塊產(chǎn)品BLE112、BLE113、BLE121LR和BLED112系列也不受影響，因為它們未包含此漏洞的功能。此外，Silicon Labs的藍牙Classic產(chǎn)品（包括BT111和WTxx模塊）也都不受此漏洞的影響。

我們將在今年持續(xù)改良軟硬件設(shè)計，以確保提供一個可以完全防范此漏洞的補丁。