دانیله آنتونیلی، محقق امنیت بلوتوث که قبلاً تکنیکهای حمله BIAS، BLUR و KNOB را توسعه داده بود، دو آسیبپذیری جدید (CVE-2023-24023) را در مکانیسم مذاکره جلسه بلوتوث شناسایی کرده است که بر تمامی پیادهسازیهای بلوتوثی که از حالتهای اتصال امن پشتیبانی میکنند، تأثیر میگذارد. "Secure Simple Pairing"، مطابق با مشخصات بلوتوث Core 4.2-5.4. به عنوان نمایشی از کاربرد عملی آسیبپذیریهای شناساییشده، ۶ گزینه حمله ایجاد شدهاند که به ما اجازه میدهند تا در ارتباط بین دستگاههای بلوتوثی که قبلاً جفت شدهاند، استفاده کنیم. کد با پیاده سازی روش های حمله و ابزارهای کمکی برای بررسی آسیب پذیری ها در GitHub منتشر شده است.
آسیبپذیریها در طول تجزیه و تحلیل مکانیسمهای شرحدادهشده در استاندارد دستیابی به محرمانهسازی رو به جلو (Forward and Future Secrecy) شناسایی شدند که با به خطر افتادن کلیدهای جلسه در مورد تعیین یک کلید دائمی مقابله میکنند (به خطر انداختن یکی از کلیدهای دائمی نباید منجر شود. برای رمزگشایی جلسات قبلی یا آتی) و استفاده مجدد از کلیدهای جلسه (کلید یک جلسه نباید برای جلسه دیگر قابل اجرا باشد). آسیبپذیریهای یافت شده امکان دور زدن حفاظت مشخص شده و استفاده مجدد از یک کلید جلسه غیرقابل اعتماد را در جلسات مختلف ممکن میسازد. این آسیبپذیریها به دلیل نقص در استاندارد پایه ایجاد میشوند، مختص به پشتههای بلوتوث جداگانه نیستند و در تراشههای سازندههای مختلف ظاهر میشوند.
روشهای حمله پیشنهادی گزینههای مختلفی را برای سازماندهی جعل اتصالات بلوتوث کلاسیک (LSC، اتصالات امن قدیمی بر اساس رمزنگاریهای اولیه قدیمی) و ایمن (SC، اتصالات ایمن مبتنی بر ECDH و AES-CCM) بین سیستم و یک دستگاه جانبی اجرا میکنند. و همچنین سازماندهی اتصالات MITM حملات برای اتصالات در حالت های LSC و SC. فرض بر این است که تمام پیادهسازیهای بلوتوث که با استاندارد مطابقت دارند، در معرض برخی از انواع حمله BLUFFS هستند. این روش بر روی 18 دستگاه از شرکت هایی مانند اینتل، برادکام، اپل، گوگل، مایکروسافت، CSR، لاجیتک، اینفینئون، بوز، دل و شیائومی نشان داده شد.
ماهیت آسیبپذیریها به توانایی، بدون نقض استاندارد، وادار کردن اتصال به استفاده از حالت قدیمی LSC و کلید جلسه کوتاه غیرقابل اعتماد (SK)، با تعیین حداقل آنتروپی ممکن در طول فرآیند مذاکره اتصال و نادیده گرفتن محتویات پاسخ با پارامترهای احراز هویت (CR)، که منجر به تولید یک کلید جلسه بر اساس پارامترهای ورودی دائمی می شود (کلید جلسه SK به عنوان KDF از کلید دائمی (PK) و پارامترهای توافق شده در جلسه محاسبه می شود) . به عنوان مثال، در طول یک حمله MITM، یک مهاجم می تواند پارامترهای 𝐴𝐶 و 𝑆𝐷 را با مقادیر صفر در طول فرآیند مذاکره در جلسه جایگزین کند و آنتروپی 𝑆𝐸 را روی 1 قرار دهد که منجر به تشکیل یک کلید جلسه 𝑆𝐾 با یک واقعی می شود. آنتروپی 1 بایت (حداقل اندازه آنتروپی استاندارد 7 بایت (56 بیت) است که از نظر قابلیت اطمینان با انتخاب کلید DES قابل مقایسه است).
اگر مهاجم موفق به استفاده از یک کلید کوتاهتر در طول مذاکره اتصال شود، میتواند از نیروی brute force برای تعیین کلید دائمی (PK) مورد استفاده برای رمزگذاری و دستیابی به رمزگشایی ترافیک بین دستگاهها استفاده کند. از آنجایی که یک حمله MITM می تواند استفاده از همان کلید رمزگذاری را آغاز کند، اگر این کلید پیدا شود، می توان از آن برای رمزگشایی تمام جلسات گذشته و آینده که توسط مهاجم رهگیری می شود استفاده کرد.
برای جلوگیری از آسیبپذیریها، محقق پیشنهاد کرد که تغییراتی در استاندارد ایجاد کند که پروتکل LMP را گسترش میدهد و منطق استفاده از KDF (تابع استخراج کلید) را هنگام تولید کلیدها در حالت LSC تغییر میدهد. این تغییر سازگاری رو به عقب را از بین نمی برد، اما باعث می شود دستور توسعه یافته LMP فعال شود و 48 بایت اضافی ارسال شود. بلوتوث SIG که مسئول توسعه استانداردهای بلوتوث است، رد کردن اتصالات از طریق یک کانال ارتباطی رمزگذاری شده با کلیدهایی تا اندازه ۷ بایت را به عنوان یک اقدام امنیتی پیشنهاد کرده است. پیادهسازیهایی که همیشه از حالت امنیتی 7 سطح 4 استفاده میکنند، تشویق میشوند تا اتصالات با کلیدهایی تا اندازه 4 بایت را رد کنند.
منبع: opennet.ru