über den Angriff (Key Negotiation Of Bluetooth), welches es ermöglicht, Informationen im verschlüsselten Bluetooth-Datenverkehr abzufangen und zu manipulieren. Durch die Möglichkeit, die direkte Übertragung von Paketen während des Verbindungsaufbaus zwischen Bluetooth-Geräten zu blockieren, kann der Angreifer erreichen, dass für die Sitzung Schlüssel mit nur 1 Byte Entropie verwendet werden, was die Anwendung einer Brute-Force-Methode zur Bestimmung des Verschlüsselungsschlüssels erlaubt.
Das Problem wird durch Unzulänglichkeiten (CVE-2019-9506) in der Spezifikation von Bluetooth BR/EDR Core 5.1 und älteren Versionen verursacht, die den Einsatz von zu kurzen Verschlüsselungsschlüsseln zulassen und keine Maßnahmen ergreifen, um einen Angreifer während des Verbindungsaufbaus daran zu hindern, auf solche unsicheren Schlüssel zurückzugreifen (Paketinhalt kann durch nicht authentifizierte Angreifer manipuliert werden). Der Angriff kann während des Verbindungsaufbaus zwischen Geräten durchgeführt werden (bereits etablierte Sitzungen sind nicht angreifbar) und ist nur für Verbindungen in den Modi BR/EDR (Bluetooth Basic Rate/Enhanced Data Rate) effektiv, wenn beide Geräte verwundbar sind. Bei erfolgreicher Schlüsselübereinstimmung kann der Angreifer die übermittelten Daten entschlüsseln und unbemerkt im Traffic beliebigen Chiffretext einfügen.
Bei der Herstellung einer Verbindung zwischen zwei Bluetooth-Controllern A und B kann Controller A nach der Authentifizierung mit dem Link-Key anbieten, für den Verschlüsselungsschlüssel 16 Byte Entropie zu verwenden. Controller B kann diesem Wert zustimmen oder einen niedrigeren Wert angeben, falls es nicht möglich ist, einen Schlüssel der vorgeschlagenen Größe zu generieren. In Antwort darauf kann Controller A das Gegenangebot annehmen und den verschlüsselten Kommunikationskanal aktivieren. In dieser Phase der Parameterverhandlung wird keine Verschlüsselung angewendet, sodass ein Angreifer die Möglichkeit hat, sich in den Datenaustausch zwischen den Controllern einzuklinken und das Paket mit der vorgeschlagenen Entropiegröße zu manipulieren. Da die zulässige Schlüssellänge von 1 bis 16 Byte variiert, wird der zweite Controller diesen Wert annehmen und seine Bestätigung mit der Angabe einer vergleichbaren Größe senden.
Um die Schwachstelle unter Laborbedingungen zu reproduzieren (die Aktivität des Angreifers wurde auf einem der Geräte emuliert), wurde ein
für die Durchführung des Angriffs vorgeschlagen.
Für einen tatsächlichen Angriff muss der Angreifer sich im Empfangsbereich der Opfergeräte befinden und in der Lage sein, das Signal jedes Geräts vorübergehend zu blockieren. Dies wird durch Signalmanipulation oder reaktives Stören realisiert.
Die Bluetooth SIG, die für die Entwicklung der Bluetooth-Standards verantwortlich ist, hat die Spezifikation unter der Nummer 11838 angepasst, in der Herstellern Maßnahmen zur Blockierung der Sicherheitsanfälligkeit vorgeschlagen werden (die Mindestgröße des Verschlüsselungsschlüssels wurde von 1 auf 7 erhöht). Das Problem liegt bei den entsprechenden Bluetooth-Stacks und Firmware der Bluetooth-Chips, einschließlich der Produkte , Broadcom, , , , Qualcomm, Linux, , und (von 14 getesteten Chips waren alle anfällig). Im Bluetooth-Stack des Linux-Kernels gibt es einen Fix, der es ermöglicht, die Mindestgröße des Verschlüsselungsschlüssels zu ändern.
Quelle: opennet.ru
