Bluetoothに盗聴やデータ改ざんを許す実装上の脆弱性--対策はアップデート適用

　Bluetoothの標準化団体Bluetooth Special Interest Group（Bluetooth SIG）は、Bluetooth仕様の不備により、OSや各種デバイスのBluetooth実装に盗聴やデータ改ざんを許す脆弱性「CWE-325: Missing Required Cryptographic Step - CVE-2018-5383」が存在しうると発表した。ただし、悪用する際の難易度は高く、現時点で攻撃に使われた事例は報告されていないという。

Bluetoothに盗聴やデータ改ざんを許す脆弱性（出典：Bluetooth SIG）

　この脆弱性は、Bluetoothの「Secure Simple Pairing（SSP）」および「LE Secure Connections」という機能に関係する。Bluetoothでは新たなデバイスとペアリングする際、楕円曲線ディフィー・ヘルマン（ECDH）鍵交換で公開鍵を交換するのだが、両機能をサポートするデバイスに対し、仕様上は鍵の検証を必須項目でなく、推奨項目と規定していた。その影響で、鍵検証を実行しないデバイス同士のペアリング時に、中間者攻撃が可能となっている。

　ただし、攻撃を成功させるには、同脆弱性のあるデバイス2台がペアリングするタイミングで、攻撃用デバイスが両デバイスと無線通信可能な近距離に存在しなければならない。さらに、比較的短時間で終わるペアリング処理のあいだに、適切なプロトコルで攻撃を実行する必要もある。

　この問題に対処するため、Bluetooth SIGは仕様を見直し、公開鍵の交換時に検証プロセスを必須項目とした。さらに、認証プログラム「Bluetooth Qualification Program」の試験項目に、この脆弱性を調べるテストを追加した。

　対象となる実装は多く、Apple、Broadcom、Google、Intel、QUALCOMMなどが影響を受け、これらに関連するOSやデバイスに脆弱性が存在していた。ただし、Bluetooth SIGは会員企業に対応を呼びかけており、問題はアップデート適用などで順次解消されてきている。

影響を受ける実装（出典：CERT）