JPCERT/CCは8月15日、脆弱性対策情報ポータルサイト「JVN」の「JVNVU#90240762 - Bluetooth BR/EDR での暗号鍵エントロピーのネゴシエーションにおける問題」において、Bluetoothの脆弱性について伝えた。
Bluetooth BR / EDR Core v5.1以前のバージョンには暗号化キーの長さのネゴシエーションプロセスに脆弱性が存在しており、第三者が、Bluetooth BR/EDR で接続するデバイスに対し、通信で用いられる暗号鍵のエントロピーを 1バイトに強制する (Key Negotiation Of Bluetooth (KNOB) attack) ことで、以降の通信を総当たり攻撃 (Brute force attack) により復号して内容を傍受できるおそれがあるという。。
これは実装の問題ではなく仕様の問題とされている。仕様はすでに修正されており、Bluetoothホストおよびコントローラを提供しているサプライヤーは、製品更新に関するBluetooth SIGのガイダンス「Expedited Errata Correction 11838」を参照するように求められている。
ユーザーは今後ベンダーから公開されるアップデート情報をチェックするとともに、必要に応じてアップデートを適用することが望まれる。
