This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[FAQ] [参考译文] [常见问题解答]低功耗 Bluetooth®︎欺骗攻击(BLESA)–TI 声明

Guru**** 1127450 points
Other Parts Discussed in Thread: BLE-STACK, CC2541, CC2540, CC2650, CC2640
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/bluetooth-group/bluetooth/f/bluetooth-forum/947175/faq-bluetooth-low-energy-spoofing-attack-blesa-ti-statement

Thread 中讨论的其他器件:BLE-STACKCC2541CC2540CC2650CC2640

总结:

TI 获悉最近报告的低功耗 BluetoothRegistered欺骗攻击(BLESA)漏洞,该漏洞可能在低功耗蓝牙的某些允许使用范围内发生。 使用 TI CC26xx、CC13xx 或 CC254x 器件的客户应用应使用 TI 低功耗蓝牙 SDK 中的可用服务来应用建议的缓解措施、如下所述。 使用 TI 双模蓝牙器件(CC2564x、WL18xx)的客户应用应使用 Bluetopia 协议栈中的可用服务、如以下建议的缓解措施中所述。

BLESA 漏洞描述了攻击可能成功的两种情形:
‘在两个器件之间建立了绑定、并且通用属性配置文件(GATT)客户端信任服务器、并响应加密、身份验证或授权不足的服务请求
2. GATT 客户端继续与服务器进行未加密链接、以防之前绑定的设备的加密请求失败

建议的缓解措施:

根据当前对漏洞的分析、建议的缓解措施是应用程序确保在没有服务级别所需的安全限制的情况下、无法访问需要加密、经过身份验证或授权的链接的 GATT 特征。 建议的缓解措施适用于包含通用访问配置文件(GAP)中心角色的应用程序、以便(i)在与以前绑定的设备建立连接后启动加密、(ii)在加密过程失败时、因为对等设备没有长期密钥(LTK)、 重新启动配对或终止链接。

适用于 CC26xx/13xx 和 CC254x 器件的 TI 低功耗蓝牙 SDK 中的 GAP 绑定管理器(请参阅下表中的 SDK 链接)提供了为应用应用应用建议的缓解措施所需的服务。 GAP 绑定管理器会启动与先前绑定的器件的加密、并允许用户配置器件以再次启动配对或通过设置 gapBond_BondFailOption 参数终止链接。

SDK

SDK 链接

CC2640R2 SDK BLE-STACK

https://www.ti.com/tool/SIMPLELINK-CC2640R2-SDK

CC2640R2 SDK BLE5-STACK

CC13X2-26X2-SDK、BLE5-STACK

https://www.ti.com/tool/SIMPLELINK-CC13X2-26X2-SDK

BLE-STACK (支持 CC2540/CC2541)

https://www.ti.com/tool/BLE-STACK

BLE-STACK (支持 CC2640/CC2650)

CC13x0 SDK、BLE-STACK

https://www.ti.com/tool/SIMPLELINK-CC13X0-SDK

 

用于 TI 双模蓝牙器件(CC2564x、WL18xx)的 Bluetopia 栈在应用级别提供上述服务。 应用程序可以通过调用 Bluetopia 栈 API“HCI_LE_Start_Encryption()”来启动先前绑定的设备的加密。 Bluetopia 栈通过事件通知“etEncryption_Change_Event”、“etEncryption_Key_Refresh_Complete_Event”异步通知应用加密过程的结果。 如果发生故障、则返回错误代码、应用程序可能会终止绑定/链接并启动新的配对过程。

Bluetopia 栈

Bluetopia 栈链接

用于 Linux 环境的 BluetopiaPM 栈

https://www.ti.com/tool/TI-BT-4-2-STACK-LINUX-ADDON

用于 STM32F4 MCU 的 Bluetopia

https://www.ti.com/tool/CC2564CSTBTBLESW

用于 MSP432 MCU 的 Bluetopia

https://www.ti.com/tool/CC2564CMSP432BTBLESW

 

 

重要声明和免责声明

 

TI 提供技术和可靠性数据(包括数据表)、设计资源(包括参考设计)、应用或其他设计建议、Web 工具、安全信息和其他资源“按原样”提供,不含任何缺陷, 和拒绝作出任何明示或暗示的保证、包括但不限于对适销性、特定用途适用性或不侵犯第三方知识产权的任何暗示保证。

 

这些资源适用于使用 TI 产品进行设计的熟练开发人员。 您将自行负责:(1)为您的应用选择合适的 TI 产品、(2)设计、验证和测试您的应用、(3)确保您的应用满足适用标准以及任何其他安全、安保或其他要求。 这些资源如有变更、恕不另行通知。 TI 授权您仅将这些资源用于开发资源中所述的使用 TI 产品的应用。 禁止对这些资源进行其他复制和展示。 未授予任何其他 TI 知识产权或任何第三方知识产权的许可。 TI 对 TI 及其代表的任何索赔、损害、成本、损失、 使用这些资源而产生的责任。 TI 提供的产品受 TI 销售条款(https://www.ti.com/legal/terms-of-sale.html)或 TI.com 上其他适用条款或 与此类 TI 产品一起提供的其他适用条款的约束。 TI 提供这些资源并不会扩展或以其他方式更改 TI 针对 TI 产品的适用担保或担保免责声明。

 

邮寄地址:Texas Instruments、Post Office Box 655303、Dallas、Texas 75265

版权所有Copyright2020、德州仪器公司