Daniele Antonioli, Bluetooth sigurnosni istraživač koji je prethodno razvio tehnike napada BIAS, BLUR i KNOB, identificirao je dvije nove ranjivosti (CVE-2023-24023) u mehanizmu pregovaranja Bluetooth sesije, koje utiču na sve implementacije Bluetootha koje podržavaju načine sigurne veze." i "Secure Simple Pairing", u skladu sa Bluetooth Core 4.2-5.4 specifikacijama. Kao demonstracija praktične primene identifikovanih ranjivosti, razvijeno je 6 opcija napada koje nam omogućavaju da uđemo u vezu između prethodno uparenih Bluetooth uređaja. Kod sa implementacijom metoda napada i uslužni programi za provjeru ranjivosti objavljeni su na GitHubu.
Ranjivosti su identifikovane tokom analize mehanizama opisanih u standardu za postizanje unapred tajnosti (Forward and Future Secrecy), koji se suprotstavljaju kompromitovanju ključeva sesije u slučaju određivanja trajnog ključa (kompromitovanje jednog od stalnih ključeva ne bi trebalo da vodi na dešifriranje prethodno presretnutih ili budućih sesija) i ponovnu upotrebu ključeva ključeva sesije (ključ iz jedne sesije ne bi trebao biti primjenjiv na drugu sesiju). Pronađene ranjivosti omogućavaju zaobilaženje navedene zaštite i ponovno korištenje nepouzdanog ključa sesije u različitim sesijama. Ranjivosti su uzrokovane nedostacima u osnovnom standardu, nisu specifične za pojedinačne Bluetooth stekove i pojavljuju se u čipovima različitih proizvođača.
Predložene metode napada implementiraju različite opcije za organiziranje lažiranja klasičnih (LSC, naslijeđene sigurne veze zasnovane na zastarjelim kriptografskim primitivima) i sigurnih (SC, sigurne veze zasnovane na ECDH i AES-CCM) Bluetooth veza između sistema i perifernog uređaja, kao što su kao i organizovanje MITM veza.napadi na veze u LSC i SC modovima. Pretpostavlja se da su sve Bluetooth implementacije koje su u skladu sa standardom podložne nekoj varijanti BLUFFS napada. Metoda je demonstrirana na 18 uređaja kompanija kao što su Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell i Xiaomi.
Suština ranjivosti se svodi na mogućnost, bez kršenja standarda, da se konekcija prisili da koristi stari LSC način rada i nepouzdan kratki ključ sesije (SK), specificiranjem minimalne moguće entropije tokom procesa pregovaranja o vezi i ignoriranjem sadržaj odgovora sa parametrima autentikacije (CR), što dovodi do generisanja ključa sesije na osnovu trajnih ulaznih parametara (ključ sesije SK se izračunava kao KDF iz trajnog ključa (PK) i parametara dogovorenih tokom sesije) . Na primjer, tokom MITM napada, napadač može zamijeniti parametre 𝐴𝐶 i 𝑆𝐷 sa nultim vrijednostima tokom procesa pregovaranja sesije i postaviti entropiju 𝑆𝐸 na 1, što će dovesti do formiranja ključa sesije 𝑆𝐾 sa stvarnim entropija od 1 bajta (standardna minimalna veličina entropije je 7 bajtova (56 bita), što je uporedivo po pouzdanosti sa izborom ključa DES).
Ako je napadač uspio postići korištenje kraćeg ključa tokom pregovora o povezivanju, tada može koristiti grubu silu da odredi trajni ključ (PK) koji se koristi za enkripciju i postigne dešifriranje prometa između uređaja. Budući da MITM napad može pokrenuti korištenje istog ključa za šifriranje, ako se ovaj ključ pronađe, može se koristiti za dešifriranje svih prošlih i budućih sesija koje je napadač presreo.
Da bi se blokirale ranjivosti, istraživač je predložio izmjene standarda koje proširuju LMP protokol i mijenjaju logiku korištenja KDF (Key Derivation Function) prilikom generiranja ključeva u LSC modu. Promjena ne narušava kompatibilnost unatrag, ali uzrokuje da se proširena LMP naredba omogući i da se pošalje dodatnih 48 bajtova. Bluetooth SIG, koji je odgovoran za razvoj Bluetooth standarda, predložio je odbijanje konekcija preko šifrovanog komunikacijskog kanala s ključevima veličine do 7 bajtova kao sigurnosnu mjeru. Implementacije koje uvijek koriste sigurnosni način 4, nivo 4, podstiču se da odbiju veze s ključevima veličine do 16 bajtova.
izvor: opennet.ru