Daniele Antonioli, Bluetooth sigurnosni istraživač koji je prethodno razvio tehnike napada BIAS, BLUR i KNOB, identificirao je dvije nove ranjivosti (CVE-2023-24023) u mehanizmu za pregovaranje Bluetooth sesije, koje utječu na sve Bluetooth implementacije koje podržavaju načine Sigurne veze. " i "Sigurno jednostavno uparivanje", u skladu sa specifikacijama Bluetooth Core 4.2-5.4. Kao demonstracija praktične primjene identificiranih ranjivosti, razvijeno je 6 opcija napada koje nam omogućuju da se uglavimo u vezu između prethodno uparenih Bluetooth uređaja. Kod s implementacijom metoda napada i uslužnih programa za provjeru ranjivosti objavljeni su na GitHubu.
Ranjivosti su identificirane tijekom analize mehanizama opisanih u standardu za postizanje unaprijed tajnosti (Forward and Future Secrecy), koji se suprotstavljaju kompromitaciji ključeva sesije u slučaju određivanja trajnog ključa (kompromitacija jednog od trajnih ključeva ne bi trebala dovesti do za dešifriranje prethodno presretnutih ili budućih sesija) i ponovno korištenje ključeva sesije (ključ iz jedne sesije ne bi trebao biti primjenjiv na drugu sesiju). Pronađene ranjivosti omogućuju zaobilaženje navedene zaštite i ponovnu upotrebu nepouzdanog ključa sesije u različitim sesijama. Ranjivosti su uzrokovane nedostacima u osnovnom standardu, nisu specifične za pojedinačne Bluetooth skupove i pojavljuju se u čipovima različitih proizvođača.
Predložene metode napada implementiraju različite opcije za organiziranje lažiranja klasičnih (LSC, Legacy Secure Connections temeljene na zastarjelim kriptografskim primitivima) i sigurnih (SC, Secure Connections temeljene na ECDH i AES-CCM) Bluetooth veza između sustava i perifernog uređaja, kao kao i organiziranje MITM veza.napadi za veze u LSC i SC modovima. Pretpostavlja se da su sve Bluetooth implementacije koje su u skladu sa standardom osjetljive na neku varijantu BLUFFS napada. Metoda je demonstrirana na 18 uređaja kompanija kao što su Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell i Xiaomi.
Bit ranjivosti svodi se na mogućnost, bez kršenja standarda, prisiljavanja veze na korištenje starog LSC načina i nepouzdanog ključa kratke sesije (SK), određivanjem minimalne moguće entropije tijekom procesa pregovaranja o povezivanju i ignoriranjem sadržaj odgovora s parametrima provjere autentičnosti (CR), koji dovodi do generiranja ključa sesije na temelju trajnih ulaznih parametara (ključ sesije SK izračunava se kao KDF iz trajnog ključa (PK) i parametara koji su dogovoreni tijekom sesije) . Na primjer, tijekom MITM napada, napadač može zamijeniti parametre 𝐴𝐶 i 𝑆𝐷 s nultim vrijednostima tijekom procesa pregovora o sesiji i postaviti entropiju 𝑆𝐸 na 1, što će dovesti do formiranja ključa sesije 𝑆𝐾 sa stvarnim entropija od 1 bajta (standardna minimalna veličina entropije je 7 bajtova (56 bita), što je po pouzdanosti usporedivo s odabirom DES ključa).
Ako je napadač uspio postići korištenje kraćeg ključa tijekom pregovora o povezivanju, tada može upotrijebiti grubu silu kako bi odredio stalni ključ (PK) koji se koristi za enkripciju i postigao dešifriranje prometa između uređaja. Budući da MITM napad može pokrenuti korištenje istog ključa za šifriranje, ako se taj ključ pronađe, može se koristiti za dešifriranje svih prošlih i budućih sesija koje je napadač presreo.
Za blokiranje ranjivosti, istraživač je predložio izmjene standarda koje proširuju LMP protokol i mijenjaju logiku korištenja KDF-a (Key Derivation Function) prilikom generiranja ključeva u LSC načinu rada. Promjena ne prekida kompatibilnost unatrag, ali uzrokuje da se proširena LMP naredba omogući i da se pošalje dodatnih 48 bajtova. Bluetooth SIG, koji je odgovoran za razvoj Bluetooth standarda, predložio je odbijanje veza preko šifriranog komunikacijskog kanala s ključevima veličine do 7 bajtova kao sigurnosnu mjeru. Implementacije koje uvijek koriste sigurnosni način 4 razine 4 potiču se da odbiju veze s ključevima veličine do 16 bajtova.
Izvor: opennet.ru