蓝牙SIG更新规范，应对相关的安全漏洞

上周，蓝牙技术联盟（Bluetooth SIG）宣布更新蓝牙规范，以应对和Secure Simple Pairing和LE Secure Connections相关的安全漏洞。本文将简单说明此一安全漏洞，以及其带来的影响，并介绍Silicon Labs（亦称“芯科科技”）旗下不受此安全漏洞影响的EFR32TM Wireless Gecko无线SoC和模块系列产品。

最新蓝牙规范要求验证配对密钥

根据蓝牙SIG以色列理工学院的研究人员发现，该规范建议，但不要求支持这些功能的设备验证与新设备配对时通过无线方式接收的公钥。蓝牙SIG现已更新蓝牙规范，要求验证此类密钥。

在开始连接时，当配对蓝牙设备时，设备使用相互身份验证来保证连接的安全。蓝牙SIG在此相互身份验证期间发现了公钥验证的参考实现中的安全漏洞（https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update）。

这意味着攻击者可以在配对过程中执行中间人攻击，即使对于经过验证的配对方案（如数字比较或密钥输入）也是如此。这允许攻击者收听和/或修改配对连接上的所有通信。

SiliconLabs提供高安全性的蓝牙SoC和模块

我们的EFR32 Wireless Gecko系列产品（Blue Gecko和Mighty Gecko）并不受此问题的影响，因为它们利用了没有此漏洞的mbedTLS ECDH方案；同时，我们的蓝牙模块产品BLE112、BLE113、BLE121LR和BLED112系列也不受影响，因为它们未包含此漏洞的功能。此外，Silicon Labs的蓝牙Classic产品（包括BT111和WTxx模块）也都不受此漏洞的影响。

我们将在今年持续改良软硬件设计，以确保提供一个可以完全防范此漏洞的补丁。