Даніэле Антоніолі (Daniele Antonioli), даследчык бяспекі Bluetooth, які раней распрацаваў тэхнікі нападаў BIAS, BLUR і KNOB, выявіў дзве новыя ўразлівасці (CVE-2023-24023) у механізме ўзгаднення сеансаў Bluetooth, якія закранаюць усе рэалізацыі Bluetooth, якія падтрымліваюць рэжымы абароненага спалучэння. »і «Secure Simple Pairing», якія адпавядаюць спецыфікацыям Bluetooth Core 4.2-5.4. У якасці дэманстрацыі практычнага прымянення выяўленых уразлівасцяў распрацавана 6 варыянтаў нападаў, якія дазваляюць уклінавацца ў злучэнне паміж раней спалучанымі Bluetooth-прыладамі. Код з рэалізацыяй метадаў нападу і ўтыліты для праверкі наяўнасці ўразлівасцяў апублікаваны на GitHub.
Уразлівасці былі выяўлены ў ходзе аналізу апісаных у стандарце механізмаў дасягнення прамой сакрэтнасці (Forward and Future Secrecy), якія процідзейнічаюць кампраметацыі сеансавых ключоў у выпадку вызначэння пастаяннага ключа (кампраметацыя аднаго з пастаянных ключоў не павінна прывесці да расшыфроўкі раней перахопленых або будучых сеансаў) і паўторнаму выкарыстанню сеанс ключоў (ключ ад аднаго сеансу не павінен быць дастасавальны да іншага сеансу). Знойдзеныя ўразлівасці дазваляюць абыйсці паказаную абарону і паўторна выкарыстоўваць ненадзейны сеансавы ключ у розных сеансах. Уразлівасці выкліканыя недапрацоўкамі ў базавым стандарце, не спецыфічныя для асобных Bluetooth-стэкаў, і выяўляюцца ў чыпах розных вытворцаў.
Прапанаваныя метады нападаў рэалізуюць розныя варыянты арганізацыі спуфінга класічных (LSC, Legacy Secure Connections на базе састарэлых крыптаграфічных прымітываў) і абароненых (SC, Secure Connections на базе ECDH і AES-CCM) Bluetooth-злучэнняў паміж сістэмай і перыферыйнай прыладай, а таксама нападаў для злучэнняў у рэжымах LSC і SC. Мяркуецца, што ўсе рэалізацыі Bluetooth, якія адпавядаюць стандарту, схільныя тым ці іншым варыянтам нападу BLUFFS. Праца метаду прадэманстравана на 18 прыладах ад такіх кампаній, як Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell і Xiaomi.
Сутнасць уразлівасцяў зводзіцца да магчымасці без парушэння стандарту прымусова адкаціць злучэнне на выкарыстанне старога рэжыму LSC і ненадзейнага кароткага сесійнага ключа (SK), праз указанне падчас узгаднення злучэння мінімальна магчымай энтрапіі і ігнаруючы змесціва адказу з параметрамі аўтэнтыфікацыі (CR), што прыводзіць да генерацыі ключа на аснове пастаянных ўваходных параметраў (сесійны ключ SK вылічаецца як KDF ад пастаяннага ключа (PK) і ўзгодненых падчас сеансу параметраў). Напрыклад, атакавалы падчас MITM-напады можа замяніць падчас узгадненняў сеансу параметры 𝐴𝐶 і 𝑆𝐷 на нулявыя значэнні, а энтрапію 𝑆𝐸 выставіць у значэнне 1, што прывядзе да фармавання сесійнага ключа . складае 1 байт (7 біт), што па ўзроўні надзейнасці супастаўна з падборам ключоў DES).
Калі атакаваламу падчас узгаднення злучэння атрымалася дамагчыся выкарыстанні карацейшага ключа, далей ён можа пры дапамозе падбору (brute force) вызначыць сталы ключ (PK), выкарыстоўваны для шыфравання і дамагчыся расшыфроўкі трафіку паміж прыладамі. Бо падчас MITM-напады можна ініцыяваць выкарыстанне аднаго і таго ж ключа шыфравання, калі дадзены ключ будзе падабраны, тое яго можна задзейнічаць і для расшыфроўкі ўсіх мінулых і будучых сеансаў, перахопленых атакавалым.
Для блакавання ўразлівасцяў даследнікам прапанавана занесці ў стандарт змены, якія пашыраюць пратакол LMP і што змяняюць логіку выкарыстання KDF (Key Derivation Function) пры фармаванні ключоў у рэжыме LSC. Змена не парушае зваротную сумяшчальнасць, але прыводзіць да ўключэння пашыранай LMP-каманды і неабходнасці адпраўкі дадатковых 48 байтаў. Арганізацыя Bluetooth SIG, якая адказвае за распрацоўку стандартаў Bluetooth, у якасці меры абароны прапанавала адхіляць злучэнні па шыфраваным канале сувязі з ключамі, памерам да 7 байт. Рэалізацыям, якія заўсёды ўжываюць узровень Security Mode 4 Level 4, рэкамендуецца адхіляць злучэнні з ключамі, памерам да 16 байт.
Крыніца: opennet.ru