Daniele Antonioli, en Bluetooth-sikkerhedsforsker, der tidligere har udviklet BIAS-, BLUR- og KNOB-angrebsteknikkerne, har identificeret to nye sårbarheder (CVE-2023-24023) i Bluetooth-sessionsforhandlingsmekanismen, som påvirker alle Bluetooth-implementeringer, der understøtter Secure Connections-tilstande." og "Secure Simple Pairing", der overholder Bluetooth Core 4.2-5.4-specifikationerne. Som en demonstration af den praktiske anvendelse af de identificerede sårbarheder er der udviklet 6 angrebsmuligheder, der giver os mulighed for at kile ind i forbindelsen mellem tidligere parrede Bluetooth-enheder. Koden med implementering af angrebsmetoder og hjælpeprogrammer til kontrol for sårbarheder er offentliggjort på GitHub.
Sårbarhederne blev identificeret under analysen af de mekanismer, der er beskrevet i standarden for at opnå fremadrettet hemmeligholdelse (Forward and Future Secrecy), som modvirker kompromittering af sessionsnøgler i tilfælde af at bestemme en permanent nøgle (kompromittering af en af de permanente nøgler bør ikke føre til til dekryptering af tidligere opsnappede eller fremtidige sessioner) og genbrug af sessionsnøgler (en nøgle fra én session bør ikke være anvendelig til en anden session). De fundne sårbarheder gør det muligt at omgå den specificerede beskyttelse og genbruge en upålidelig sessionsnøgle i forskellige sessioner. Sårbarhederne er forårsaget af fejl i basisstandarden, er ikke specifikke for individuelle Bluetooth-stacks og vises i chips fra forskellige producenter.
De foreslåede angrebsmetoder implementerer forskellige muligheder for at organisere spoofing af klassiske (LSC, Legacy Secure Connections baseret på forældede kryptografiske primitiver) og sikre (SC, Secure Connections baseret på ECDH og AES-CCM) Bluetooth-forbindelser mellem systemet og en perifer enhed, som samt organisering af MITM-forbindelser.angreb for forbindelser i LSC- og SC-tilstande. Det antages, at alle Bluetooth-implementeringer, der overholder standarden, er modtagelige for en eller anden variant af BLUFFS-angrebet. Metoden blev demonstreret på 18 enheder fra virksomheder som Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell og Xiaomi.
Essensen af sårbarhederne bunder i evnen til uden at overtræde standarden at tvinge en forbindelse til at bruge den gamle LSC-tilstand og en upålidelig kort sessionsnøgle (SK) ved at specificere den mindst mulige entropi under forbindelsesforhandlingsprocessen og ignorere indholdet af svaret med autentificeringsparametre (CR), hvilket fører til generering af en sessionsnøgle baseret på permanente inputparametre (sessionsnøglen SK beregnes som KDF'en ud fra den permanente nøgle (PK) og parametre, der er aftalt under sessionen) . For eksempel kan en angriber under et MITM-angreb erstatte parametrene 𝐴𝐶 og 𝑆𝐷 med nul-værdier under sessionsforhandlingsprocessen og sætte entropien 𝑆𝐸 til 1, hvilket vil føre til dannelsen af en sessionsnøgle 𝑆𝐾 med en faktisk entropi på 1 byte (standard minimum entropistørrelse er 7 bytes (56 bits), hvilket er sammenligneligt i pålidelighed med DES-nøglevalg).
Hvis det lykkedes angriberen at opnå brugen af en kortere nøgle under forbindelsesforhandlingen, så kan han bruge brute force til at bestemme den permanente nøgle (PK), der bruges til kryptering og opnå dekryptering af trafik mellem enheder. Da et MITM-angreb kan udløse brugen af den samme krypteringsnøgle, hvis denne nøgle findes, kan den bruges til at dekryptere alle tidligere og fremtidige sessioner opsnappet af angriberen.
For at blokere sårbarheder foreslog forskeren at foretage ændringer i standarden, der udvider LMP-protokollen og ændrer logikken i at bruge KDF (Key Derivation Function), når der genereres nøgler i LSC-tilstand. Ændringen bryder ikke bagudkompatibiliteten, men bevirker, at den udvidede LMP-kommando aktiveres og yderligere 48 bytes sendes. Bluetooth SIG, som er ansvarlig for at udvikle Bluetooth-standarder, har foreslået at afvise forbindelser over en krypteret kommunikationskanal med nøgler på op til 7 bytes i størrelse som en sikkerhedsforanstaltning. Implementeringer, der altid bruger Security Mode 4 Level 4, opfordres til at afvise forbindelser med nøgler på op til 16 bytes i størrelse.
Kilde: opennet.ru