Daniele Antonioli, peneliti keamanan Bluetooth yang sebelumnya mengembangkan teknik serangan BIAS, BLUR dan KNOB, telah mengidentifikasi dua kerentanan baru (CVE-2023-24023) dalam mekanisme negosiasi sesi Bluetooth, yang memengaruhi semua implementasi Bluetooth yang mendukung mode Koneksi Aman." dan "Pemasangan Sederhana Aman", sesuai dengan spesifikasi Bluetooth Core 4.2-5.4. Sebagai demonstrasi penerapan praktis dari kerentanan yang teridentifikasi, 6 opsi serangan telah dikembangkan yang memungkinkan kami menyusup ke dalam koneksi antara perangkat Bluetooth yang dipasangkan sebelumnya. Kode dengan penerapan metode serangan dan utilitas untuk memeriksa kerentanan dipublikasikan di GitHub.
Kerentanan diidentifikasi selama analisis mekanisme yang dijelaskan dalam standar untuk mencapai kerahasiaan maju (Kerahasiaan Maju dan Masa Depan), yang melawan kompromi kunci sesi dalam hal menentukan kunci permanen (mengkompromikan salah satu kunci permanen tidak boleh mengarah pada untuk dekripsi sesi yang disadap sebelumnya atau sesi mendatang) dan penggunaan kembali kunci kunci sesi (kunci dari satu sesi tidak boleh berlaku untuk sesi lain). Kerentanan yang ditemukan memungkinkan untuk melewati perlindungan yang ditentukan dan menggunakan kembali kunci sesi yang tidak dapat diandalkan di sesi yang berbeda. Kerentanan ini disebabkan oleh kelemahan pada standar dasar, tidak spesifik untuk tumpukan Bluetooth individual, dan muncul pada chip dari produsen berbeda.
Metode serangan yang diusulkan menerapkan opsi berbeda untuk mengatur spoofing koneksi Bluetooth klasik (LSC, Legacy Secure Connections berdasarkan primitif kriptografi yang sudah ketinggalan zaman) dan aman (SC, Secure Connections berdasarkan ECDH dan AES-CCM) antara sistem dan perangkat periferal, serta serta mengatur koneksi MITM serangan untuk koneksi dalam mode LSC dan SC. Diasumsikan bahwa semua implementasi Bluetooth yang memenuhi standar rentan terhadap beberapa varian serangan BLUFFS. Metode tersebut telah didemonstrasikan pada 18 perangkat dari perusahaan seperti Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell dan Xiaomi.
Inti dari kerentanan bermuara pada kemampuan, tanpa melanggar standar, untuk memaksa koneksi menggunakan mode LSC lama dan kunci sesi pendek (SK) yang tidak dapat diandalkan, dengan menentukan entropi minimum yang mungkin selama proses negosiasi koneksi dan mengabaikan isi respons dengan parameter otentikasi (CR), yang mengarah pada pembuatan kunci sesi berdasarkan parameter input permanen (kunci sesi SK dihitung sebagai KDF dari kunci permanen (PK) dan parameter yang disepakati selama sesi) . Misalnya, selama serangan MITM, penyerang dapat mengganti parameter 𝐴𝐶 dan 𝑆𝐷 dengan nilai nol selama proses negosiasi sesi, dan menyetel entropi 𝑆𝐸 ke 1, yang akan mengarah pada pembentukan kunci sesi 𝑆𝐾 dengan entropi aktual 1 byte (ukuran entropi minimum standar adalah 7 byte (56 bit), yang keandalannya sebanding dengan pemilihan kunci DES).
Jika penyerang berhasil menggunakan kunci yang lebih pendek selama negosiasi koneksi, maka ia dapat menggunakan kekerasan untuk menentukan kunci permanen (PK) yang digunakan untuk enkripsi dan mencapai dekripsi lalu lintas antar perangkat. Karena serangan MITM dapat memicu penggunaan kunci enkripsi yang sama, jika kunci ini ditemukan, kunci tersebut dapat digunakan untuk mendekripsi semua sesi masa lalu dan masa depan yang disadap oleh penyerang.
Untuk memblokir kerentanan, peneliti mengusulkan untuk melakukan perubahan pada standar yang memperluas protokol LMP dan mengubah logika penggunaan KDF (Fungsi Derivasi Kunci) saat menghasilkan kunci dalam mode LSC. Perubahan tersebut tidak merusak kompatibilitas mundur, namun menyebabkan perintah LMP yang diperluas diaktifkan dan tambahan 48 byte dikirim. Bluetooth SIG, yang bertanggung jawab untuk mengembangkan standar Bluetooth, telah mengusulkan penolakan koneksi melalui saluran komunikasi terenkripsi dengan kunci berukuran hingga 7 byte sebagai tindakan keamanan. Implementasi yang selalu menggunakan Mode Keamanan 4 Level 4 dianjurkan untuk menolak koneksi dengan kunci berukuran hingga 16 byte.
Sumber: opennet.ru