Daniele Antonioli, chercheur en sécurité Bluetooth qui a précédemment développé les techniques d'attaque BIAS, BLUR et KNOB, a identifié deux nouvelles vulnérabilités (CVE-2023-24023) dans le mécanisme de négociation de session Bluetooth, affectant toutes les implémentations Bluetooth prenant en charge les modes de connexions sécurisées. " et "Secure Simple Pairing", conforme aux spécifications Bluetooth Core 4.2-5.4. Pour démontrer l'application pratique des vulnérabilités identifiées, 6 options d'attaque ont été développées qui nous permettent de nous insérer dans la connexion entre des appareils Bluetooth précédemment couplés. Le code avec la mise en œuvre de méthodes d'attaque et d'utilitaires de vérification des vulnérabilités est publié sur GitHub.
Les vulnérabilités ont été identifiées lors de l'analyse des mécanismes décrits dans la norme pour atteindre le secret permanent (Forward and Future Secrecy), qui contrecarrent la compromission des clés de session en cas de détermination d'une clé permanente (la compromission de l'une des clés permanentes ne doit pas conduire au décryptage des sessions précédemment interceptées ou futures) et la réutilisation des clés de session (une clé d'une session ne doit pas être applicable à une autre session). Les vulnérabilités trouvées permettent de contourner la protection spécifiée et de réutiliser une clé de session peu fiable dans différentes sessions. Les vulnérabilités sont causées par des failles dans la norme de base, ne sont pas spécifiques à des piles Bluetooth individuelles et apparaissent dans les puces de différents fabricants.
Les méthodes d'attaque proposées mettent en œuvre différentes options pour organiser l'usurpation d'identité des connexions Bluetooth classiques (LSC, Legacy Secure Connections basées sur des primitives cryptographiques obsolètes) et sécurisées (SC, Secure Connections basées sur ECDH et AES-CCM) entre le système et un périphérique, comme ainsi que l'organisation des connexions MITM et des attaques pour les connexions en modes LSC et SC. On suppose que toutes les implémentations Bluetooth conformes à la norme sont sensibles à une variante de l'attaque BLUFFS. La méthode a été démontrée sur 18 appareils d'entreprises telles que Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell et Xiaomi.
L'essence des vulnérabilités se résume à la possibilité, sans violer la norme, de forcer une connexion à utiliser l'ancien mode LSC et une clé de session courte (SK) peu fiable, en spécifiant l'entropie minimale possible lors du processus de négociation de connexion et en ignorant le contenu de la réponse avec paramètres d'authentification (CR), qui conduit à la génération d'une clé de session basée sur des paramètres d'entrée permanents (la clé de session SK est calculée comme le KDF à partir de la clé permanente (PK) et des paramètres convenus au cours de la session) . Par exemple, lors d'une attaque MITM, un attaquant peut remplacer les paramètres 𝐴𝐶 et 𝑆𝐷 par des valeurs nulles pendant le processus de négociation de session, et définir l'entropie 𝑆𝐸 à 1, ce qui conduira à la formation d'une clé de session 𝑆𝐾 avec une entropie réelle de 1 octet (la taille d'entropie minimale standard est de 7 octets (56 bits), ce qui est comparable en fiabilité à la sélection de clé DES).
Si l'attaquant parvient à utiliser une clé plus courte lors de la négociation de connexion, il peut alors utiliser la force brute pour déterminer la clé permanente (PK) utilisée pour le cryptage et réaliser le déchiffrement du trafic entre les appareils. Puisqu’une attaque MITM peut déclencher l’utilisation de la même clé de chiffrement, si cette clé est trouvée, elle peut être utilisée pour décrypter toutes les sessions passées et futures interceptées par l’attaquant.
Pour bloquer les vulnérabilités, le chercheur a proposé d'apporter des modifications à la norme qui étendent le protocole LMP et modifient la logique d'utilisation de KDF (Key Derivation Function) lors de la génération de clés en mode LSC. Le changement ne rompt pas la compatibilité ascendante, mais entraîne l'activation de la commande LMP étendue et l'envoi de 48 octets supplémentaires. Le Bluetooth SIG, responsable du développement des normes Bluetooth, a proposé de rejeter les connexions sur un canal de communication crypté avec des clés allant jusqu'à 7 octets par mesure de sécurité. Les implémentations qui utilisent toujours le mode de sécurité 4 niveau 4 sont encouragées à rejeter les connexions avec des clés d'une taille maximale de 16 octets.
Source: opennet.ru