微软展开封锁！Windows PC和不安全的蓝牙版FIDO密钥

有鉴于蓝牙版本安全密钥的安全性问题，微软周二发出安全公告指出，将封锁有漏洞的蓝牙（BLE）FIDO安全密钥和Windows PC的配对。近日BLE版FIDO硬件安全密钥爆发漏洞CVE-2019-2102。这项漏洞出自蓝牙配对协议的组态错误。在BLE 规格中有一个长期密钥（Long Term Key，LTK）示范样本，如果BLE装置采用此样本来写成LTK，理论上，位于蓝牙装置附近的攻击者可以用他的装置（手机或笔电）抢先用户一步连接BLE密钥来登入用户帐户，或是用其装置冒充BLE密钥来连上用户的装置，进一步在受害装置上输入指令或删改数据。

为此，微软已经在周二（6月11日）释出的每月例行安全更新中，封锁问题产品与Windows的配对。CVE-2019-2102即是和上个月Titan蓝牙版安全密钥发现的同一漏洞，促使Google回收并换新产品。受到该漏洞影响的产品，包括网络大厂Titan蓝牙版安全密钥及中国厂商Feitian出品的MultiPass FIDO Security Key部份型号。Google也在上周于Android更新中修补了CVE-2019-2102。微软建议用户应尽速安装6月的Windows安全更新，并随时注意网络大厂Android及Feitian的安全公告。