Daniele Antonioli, 'n Bluetooth-sekuriteitsnavorser wat voorheen die BIAS-, BLUR- en KNOB-aanvaltegnieke ontwikkel het, het twee nuwe kwesbaarhede (CVE-2023-24023) in die Bluetooth-sessie-onderhandelingsmeganisme geïdentifiseer, wat alle Bluetooth-implementerings beïnvloed wat Veilige verbindings-modusse ondersteun. " en "Secure Simple Pairing", wat voldoen aan Bluetooth Core 4.2-5.4 spesifikasies. As 'n demonstrasie van die praktiese toepassing van die geïdentifiseerde kwesbaarhede, is 6 aanvalopsies ontwikkel wat ons in staat stel om in die verbinding tussen voorheen gekoppelde Bluetooth-toestelle in te wig. Die kode met die implementering van aanvalmetodes en nutsprogramme om vir kwesbaarhede na te gaan, word op GitHub gepubliseer.
Die kwesbaarhede is geïdentifiseer tydens die ontleding van die meganismes beskryf in die standaard vir die bereiking van voorwaartse geheimhouding (Forward and Future Secrecy), wat die kompromie van sessiesleutels teëwerk in die geval van die bepaling van 'n permanente sleutel (die kompromie van een van die permanente sleutels behoort nie te lei tot die dekripsie van voorheen onderskepte of toekomstige sessies) en hergebruik van sessiesleutels ('n sleutel van een sessie behoort nie op 'n ander sessie van toepassing te wees nie). Die kwesbaarhede wat gevind is, maak dit moontlik om die gespesifiseerde beskerming te omseil en 'n onbetroubare sessiesleutel in verskillende sessies te hergebruik. Die kwesbaarhede word veroorsaak deur foute in die basisstandaard, is nie spesifiek vir individuele Bluetooth-stapels nie, en verskyn in skyfies van verskillende vervaardigers.
Die voorgestelde aanvalmetodes implementeer verskillende opsies vir die organisering van bedrog van klassieke (LSC, Legacy Secure Connections gebaseer op verouderde kriptografiese primitiewe) en veilige (SC, Secure Connections gebaseer op ECDH en AES-CCM) Bluetooth-verbindings tussen die stelsel en 'n randtoestel, soos asook die organisering van MITM-verbindings aanvalle vir verbindings in LSC- en SC-modusse. Daar word aanvaar dat alle Bluetooth-implementerings wat aan die standaard voldoen, vatbaar is vir een of ander variant van die BLUFFS-aanval. Die metode is gedemonstreer op 18 toestelle van maatskappye soos Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell en Xiaomi.
Die essensie van die kwesbaarhede kom neer op die vermoë om, sonder om die standaard te oortree, 'n verbinding te dwing om die ou LSC-modus en 'n onbetroubare kortsessiesleutel (SK) te gebruik deur die minimum moontlike entropie tydens die verbindingsonderhandelingsproses te spesifiseer en die inhoud van die antwoord met verifikasie parameters (CR), wat lei tot die generering van 'n sessie sleutel gebaseer op permanente invoer parameters (die sessie sleutel SK word bereken as die KDF vanaf die permanente sleutel (PK) en parameters waarop ooreengekom is tydens die sessie) . Byvoorbeeld, tydens 'n MITM-aanval kan 'n aanvaller parameters 𝐴𝐶 en 𝑆𝐷 met nulwaardes vervang tydens die sessie-onderhandelingsproses, en entropie 𝑆𝐸 op 1 stel, wat sal lei tot die vorming van 'n sessiesleutel 𝑆𝐾 met 'n werklike entropie van 1 greep (die standaard minimum entropiegrootte is 7 grepe (56 bisse), wat vergelykbaar is in betroubaarheid met DES-sleutelkeuse).
As die aanvaller daarin geslaag het om die gebruik van 'n korter sleutel tydens die verbindingsonderhandeling te bereik, kan hy brute krag gebruik om die permanente sleutel (PK) wat vir enkripsie gebruik word, te bepaal en dekripsie van verkeer tussen toestelle te bewerkstellig. Aangesien 'n MITM-aanval die gebruik van dieselfde enkripsiesleutel kan veroorsaak, as hierdie sleutel gevind word, kan dit gebruik word om alle vorige en toekomstige sessies wat deur die aanvaller onderskep is, te dekripteer.
Om kwesbaarhede te blokkeer, het die navorser voorgestel om veranderinge aan die standaard te maak wat die LMP-protokol uitbrei en die logika van die gebruik van KDF (Key Derivation Function) verander wanneer sleutels in LSC-modus gegenereer word. Die verandering verbreek nie terugwaartse versoenbaarheid nie, maar veroorsaak dat die uitgebreide LMP-opdrag geaktiveer word en 'n bykomende 48 grepe gestuur word. Die Bluetooth SIG, wat verantwoordelik is vir die ontwikkeling van Bluetooth-standaarde, het voorgestel om verbindings oor 'n geënkripteerde kommunikasiekanaal met sleutels tot 7 grepe groot te verwerp as 'n sekuriteitsmaatreël. Implementerings wat altyd Sekuriteitsmodus 4 Vlak 4 gebruik, word aangemoedig om verbindings met sleutels tot 16 grepe groot te verwerp.
Bron: opennet.ru