BLUFFS - уязвимости в Bluetooth, които позволяват MITM атака

Даниеле Антониоли, изследовател по сигурността на Bluetooth, който преди това е разработил техниките за атака BIAS, BLUR и KNOB, идентифицира две нови уязвимости (CVE-2023-24023) в механизма за договаряне на Bluetooth сесии, засягащи всички Bluetooth реализации, които поддържат режими на защитени връзки. " и „Сигурно просто сдвояване“, отговарящо на спецификациите на Bluetooth Core 4.2-5.4. Като демонстрация на практическото приложение на идентифицираните уязвимости са разработени 6 опции за атака, които ни позволяват да влезем във връзката между предварително сдвоени Bluetooth устройства. Кодът с внедряването на методи за атака и помощни програми за проверка за уязвимости са публикувани в GitHub.

Уязвимостите са идентифицирани по време на анализа на механизмите, описани в стандарта за постигане на предна секретност (Forward and Future Secrecy), които противодействат на компрометирането на сесийни ключове в случай на определяне на постоянен ключ (компрометирането на един от постоянните ключове не трябва да води за декриптиране на предишни прихванати или бъдещи сесии) и повторно използване на ключове за сесийни ключове (ключ от една сесия не трябва да е приложим за друга сесия). Откритите уязвимости правят възможно заобикалянето на определената защита и повторното използване на ненадежден сесиен ключ в различни сесии. Уязвимостите са причинени от недостатъци в базовия стандарт, не са специфични за отделните Bluetooth стекове и се появяват в чипове от различни производители.

Предложените методи за атака реализират различни опции за организиране на подправяне на класически (LSC, Legacy Secure Connections, базирани на остарели криптографски примитиви) и сигурни (SC, Secure Connections, базирани на ECDH и AES-CCM) Bluetooth връзки между системата и периферно устройство, като както и организиране на MITM връзки атаки за връзки в LSC и SC режими. Предполага се, че всички Bluetooth реализации, които отговарят на стандарта, са податливи на някакъв вариант на BLUFFS атака. Методът беше демонстриран на 18 устройства от компании като Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell и Xiaomi.

Същността на уязвимостите се свежда до възможността, без да се нарушава стандартът, да се принуди връзката да използва стария LSC режим и ненадежден ключ за кратка сесия (SK), като се посочи минималната възможна ентропия по време на процеса на договаряне на връзката и се игнорира съдържание на отговора с параметри за удостоверяване (CR), което води до генериране на сесиен ключ въз основа на постоянни входни параметри (сесийният ключ SK се изчислява като KDF от постоянния ключ (PK) и параметрите, договорени по време на сесията) . Например, по време на MITM атака, атакуващият може да замени параметрите 𝐴𝐶 и 𝑆𝐷 с нулеви стойности по време на процеса на договаряне на сесията и да зададе ентропия 𝑆𝐸 на 1, което ще доведе до формирането на сесиен ключ 𝑆𝐾 с действителна ентропия от 1 байт (стандартният минимален размер на ентропията е 7 байта (56 бита), което е сравнимо по надеждност с избора на DES ключ).

Ако атакуващият успее да постигне използването на по-къс ключ по време на преговорите за връзка, тогава той може да използва груба сила, за да определи постоянния ключ (PK), използван за криптиране, и да постигне декриптиране на трафика между устройствата. Тъй като MITM атака може да задейства използването на същия ключ за криптиране, ако този ключ бъде намерен, той може да се използва за дешифриране на всички минали и бъдещи сесии, прихванати от нападателя.

За да блокира уязвимостите, изследователят предложи да се направят промени в стандарта, които разширяват LMP протокола и променят логиката на използване на KDF (Key Derivation Function) при генериране на ключове в LSC режим. Промяната не нарушава обратната съвместимост, но кара разширената LMP команда да бъде активирана и да бъдат изпратени допълнителни 48 байта. Bluetooth SIG, който отговаря за разработването на Bluetooth стандарти, предложи отхвърляне на връзки през криптиран комуникационен канал с ключове с размер до 7 байта като мярка за сигурност. Реализациите, които винаги използват режим на защита 4, ниво 4, се насърчават да отхвърлят връзки с ключове с размер до 16 байта.

Източник: opennet.ru