Daniele Antonioli, bezpečnostní výzkumník Bluetooth, který dříve vyvinul techniky útoku BIAS, BLUR a KNOB, identifikoval dvě nové zranitelnosti (CVE-2023-24023) v mechanismu vyjednávání relací Bluetooth, které ovlivňují všechny implementace Bluetooth, které podporují režimy Secure Connections. "Secure Simple Pairing", vyhovující specifikacím Bluetooth Core 4.2-5.4. Jako ukázka praktické aplikace zjištěných zranitelností bylo vyvinuto 6 možností útoku, které nám umožňují vklínit se do spojení mezi dříve spárovanými Bluetooth zařízeními. Kód s implementací metod útoku a utilit pro kontrolu zranitelností jsou zveřejněny na GitHubu.
Zranitelnosti byly identifikovány při analýze mechanismů popsaných ve standardu pro dosažení dopředného utajení (Forward and Future Secrecy), které působí proti kompromitaci klíčů relace v případě určení trvalého klíče (kompromitování jednoho z trvalých klíčů by nemělo vést k dešifrování dříve zachycených nebo budoucích relací) a opětovnému použití klíčů klíčů relace (klíč z jedné relace by neměl být použitelný pro jinou relaci). Zjištěné chyby zabezpečení umožňují obejít zadanou ochranu a znovu použít nespolehlivý klíč relace v různých relacích. Zranitelnosti jsou způsobeny chybami v základním standardu, nejsou specifické pro jednotlivé Bluetooth stacky a objevují se v čipech od různých výrobců.
Navrhované metody útoku implementují různé možnosti organizace spoofingu klasických (LSC, Legacy Secure Connections založené na zastaralých kryptografických primitivech) a bezpečných (SC, Secure Connections založených na ECDH a AES-CCM) Bluetooth spojení mezi systémem a periferním zařízením, např. také organizování MITM spojení.útoky na spojení v režimech LSC a SC. Předpokládá se, že všechny implementace Bluetooth, které odpovídají standardu, jsou náchylné k nějaké variantě útoku BLUFFS. Metoda byla demonstrována na 18 zařízeních od společností jako Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell a Xiaomi.
Podstata zranitelnosti se scvrkává na schopnost, aniž by došlo k porušení standardu, přinutit připojení k použití starého režimu LSC a nespolehlivého klíče krátké relace (SK), a to zadáním minimální možné entropie během procesu vyjednávání o připojení a ignorováním obsah odpovědi s autentizačními parametry (CR), což vede ke generování klíče relace na základě trvalých vstupních parametrů (klíč relace SK se vypočítá jako KDF z trvalého klíče (PK) a parametrů dohodnutých během relace) . Například během MITM útoku může útočník během procesu vyjednávání relace nahradit parametry 𝐴𝐶 a 𝑆𝐷 nulovými hodnotami a nastavit entropii 𝑆𝐸 na 1, což povede k vytvoření klíče relace 𝑆𝐾 se skutečným entropie 1 bajtu (standardní minimální velikost entropie je 7 bajtů (56 bitů), což je spolehlivostí srovnatelné s výběrem klíče DES).
Pokud se útočníkovi podařilo při vyjednávání spojení dosáhnout použití kratšího klíče, pak může hrubou silou určit trvalý klíč (PK) používaný pro šifrování a dosáhnout dešifrování provozu mezi zařízeními. Vzhledem k tomu, že útok MITM může spustit použití stejného šifrovacího klíče, pokud je tento klíč nalezen, lze jej použít k dešifrování všech minulých a budoucích relací zachycených útočníkem.
Pro blokování zranitelností výzkumník navrhl provést změny standardu, které rozšiřují protokol LMP a mění logiku používání KDF (funkce odvození klíčů) při generování klíčů v režimu LSC. Tato změna nenaruší zpětnou kompatibilitu, ale způsobí povolení rozšířeného příkazu LMP a odeslání dalších 48 bajtů. Společnost Bluetooth SIG, která je odpovědná za vývoj standardů Bluetooth, navrhla jako bezpečnostní opatření odmítnout připojení přes šifrovaný komunikační kanál s klíči o velikosti až 7 bajtů. Implementacím, které vždy používají režim zabezpečení 4, úroveň 4, se doporučuje odmítnout připojení s klíči o velikosti až 16 bajtů.
Zdroj: opennet.ru