先日、研究者らによってBluetooth BR/EDRデバイスに脆弱性が存在することが発表された。Bluetooth BR/EDR version 1.0から5.1までのバージョンに対して、ブルートフォース攻撃を行うことが可能で、通信内容を傍受することができると伝えられている。
これは実装ではなく仕様の問題と認識されており、Bluetooth BR/EDRを用いているかなりの数のデバイスにこの問題が存在すると推定されている。
Malwarebytesは8月21日(米国時間)、「Bluetooth vulnerability can be exploited in Key Negotiation of Bluetooth (KNOB) attacks|Malwarebytes Labs」においてこの問題を取り上げ、Bluetooth対応デバイスのアップデートに関するリストを掲載した。
このリストは、手持ちのデバイスにアップデートが提供されているかどうかを調べる際に利用できる。掲載されているリストは次のとおり。
- About the security content of iOS 12.4 - Apple Support
- About the security content of macOS Mojave 10.14.6, Security Update 2019-004 High Sierra, Security Update 2019-004 Sierra - Apple Support
- About the security content of watchOS 5.3 - Apple Support
- BlackBerry Powered by Android Security Bulletin - June 2019
- Key Negotiation of Bluetooth Vulnerability - Cisco
- Android Security Bulletin—August 2019
- CVE-2019-9506 | Encryption Key Negotiation of Bluetooth Vulnerability - Microsoft
- CVE-2019-9506 - Red Hat Customr Portal
Malwarebytesは、機密性の高いデータを誰かと共有するのであれば、Bluetoothは安全な方法とはいえないと指摘している。安全なデータ共有を行いたい場合は他の技術を利用することが推奨されている。