Daniele Antonioli, un investigador de seguretat Bluetooth que anteriorment va desenvolupar les tècniques d'atac BIAS, BLUR i KNOB, ha identificat dues noves vulnerabilitats (CVE-2023-24023) en el mecanisme de negociació de sessions de Bluetooth, que afecten totes les implementacions de Bluetooth que admeten els modes de connexions segures. " i "Secure Simple Pairing", que compleix les especificacions Bluetooth Core 4.2-5.4. Com a demostració de l'aplicació pràctica de les vulnerabilitats identificades, s'han desenvolupat 6 opcions d'atac que ens permeten enclavar-nos en la connexió entre dispositius Bluetooth aparellats prèviament. El codi amb la implementació de mètodes d'atac i utilitats per comprovar si hi ha vulnerabilitats es publiquen a GitHub.
Les vulnerabilitats s'han identificat durant l'anàlisi dels mecanismes descrits a l'estàndard per aconseguir el secret forward (Forward and Future Secrecy), que contraresten el compromís de les claus de sessió en el cas de determinar una clau permanent (comprometre una de les claus permanents no hauria de comportar al desxifrat de sessions interceptades anteriorment o futures) i reutilització de claus de sessió (una clau d'una sessió no hauria de ser aplicable a una altra sessió). Les vulnerabilitats trobades permeten obviar la protecció especificada i reutilitzar una clau de sessió poc fiable en diferents sessions. Les vulnerabilitats són causades per defectes en l'estàndard base, no són específiques de les piles Bluetooth individuals i apareixen en xips de diferents fabricants.
Els mètodes d'atac proposats implementen diferents opcions per organitzar la falsificació de connexions Bluetooth clàssiques (LSC, Legacy Secure Connections basades en primitives criptogràfiques obsoletes) i segures (SC, Secure Connections basades en ECDH i AES-CCM) entre el sistema i un dispositiu perifèric, com així com organitzar connexions MITM, atacs per connexions en modes LSC i SC. Se suposa que totes les implementacions de Bluetooth que compleixen l'estàndard són susceptibles a alguna variant de l'atac BLUFFS. El mètode es va demostrar en 18 dispositius d'empreses com Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell i Xiaomi.
L'essència de les vulnerabilitats es redueix a la capacitat, sense violar l'estàndard, de forçar una connexió a utilitzar l'antic mode LSC i una clau de sessió curta (SK) poc fiable, especificant la mínima entropia possible durant el procés de negociació de la connexió i ignorant la contingut de la resposta amb paràmetres d'autenticació (CR), que condueix a la generació d'una clau de sessió basada en paràmetres d'entrada permanents (la clau de sessió SK es calcula com a KDF a partir de la clau permanent (PK) i els paràmetres acordats durant la sessió) . Per exemple, durant un atac MITM, un atacant pot substituir els paràmetres 𝐴𝐶 i 𝑆𝐷 amb valors zero durant el procés de negociació de la sessió, i establir l'entropia 𝑆𝐸 a 1, que donarà lloc a la formació d'una clau de sessió 𝑆𝐾 amb un valor real. entropia d'1 byte (la mida d'entropia mínima estàndard és de 7 bytes (56 bits), que és comparable en fiabilitat a la selecció de claus DES).
Si l'atacant va aconseguir l'ús d'una clau més curta durant la negociació de la connexió, pot utilitzar la força bruta per determinar la clau permanent (PK) utilitzada per al xifratge i aconseguir el desxifrat del trànsit entre dispositius. Com que un atac MITM pot desencadenar l'ús de la mateixa clau de xifratge, si es troba aquesta clau, es pot utilitzar per desxifrar totes les sessions passades i futures interceptades per l'atacant.
Per bloquejar vulnerabilitats, l'investigador va proposar fer canvis a l'estàndard que ampliïn el protocol LMP i canviïn la lògica d'utilitzar KDF (Key Derivation Function) quan es generen claus en mode LSC. El canvi no trenca la compatibilitat cap enrere, però fa que s'habiliten l'ordre LMP estesa i s'enviïn 48 bytes addicionals. El Bluetooth SIG, encarregat de desenvolupar estàndards Bluetooth, ha proposat rebutjar les connexions a través d'un canal de comunicació xifrat amb claus de fins a 7 bytes de mida com a mesura de seguretat. Es recomana a les implementacions que sempre utilitzen el Mode de seguretat 4 Nivell 4 que rebutgin connexions amb claus de fins a 16 bytes de mida.
Font: opennet.ru
