BLUFFS - נקודות תורפה בבלוטות' המאפשרות מתקפת MITM

דניאל אנטוניולי, חוקר אבטחת Bluetooth שפיתח בעבר את טכניקות ההתקפה BIAS, BLUR ו-KNOB, זיהה שתי פגיעויות חדשות (CVE-2023-24023) במנגנון המשא ומתן של הפעלת Bluetooth, המשפיעות על כל יישומי Bluetooth התומכים במצבי חיבורים מאובטחים. "Secure Simple Pairing", תואם למפרטי Bluetooth Core 4.2-5.4. כהדגמה ליישום המעשי של הפגיעויות שזוהו, פותחו 6 אפשרויות תקיפה המאפשרות לנו להשתלב בחיבור בין מכשירי בלוטות' שהותאמו בעבר. הקוד עם יישום שיטות התקפה וכלי עזר לבדיקת פרצות מתפרסם ב-GitHub.

הפגיעות זוהו במהלך ניתוח המנגנונים המתוארים בתקן להשגת סודיות קדימה (Forward and Future Secrecy), המונעים את הפשרה של מפתחות הפעלה במקרה של קביעת מפתח קבוע (התפשרות על אחד המפתחות הקבועים לא אמורה להוביל לפיענוח של הפעלות שיירטו בעבר או בעתיד) ושימוש חוזר במפתחות של מפתחות הפעלה (מפתח מהפעלה אחת לא אמור להיות ישים להפעלה אחרת). הפגיעויות שנמצאו מאפשרות לעקוף את ההגנה שצוינה ולעשות שימוש חוזר במפתח הפעלה לא אמין בהפעלות שונות. הפגיעויות נגרמות על ידי פגמים בתקן הבסיס, אינן ספציפיות לערימות בלוטות' בודדות, ומופיעות בשבבים מיצרנים שונים.

שיטות ההתקפה המוצעות מיישמות אפשרויות שונות לארגון זיוף של חיבורי בלוטות' קלאסיים (LSC, Legacy Secure Connections המבוססים על פרימיטיבים קריפטוגרפיים מיושנים) ומאובטחים (SC, Secure Connections המבוססים על ECDH ו- AES-CCM) בין המערכת לבין התקן היקפי, כמו כמו גם ארגון חיבורי MITM.התקפות לחיבורים במצבי LSC ו-SC. ההנחה היא שכל מימושי ה-Bluetooth שעומדים בתקן רגישים לגרסה כלשהי של התקפת BLUFFS. השיטה הודגמה ב-18 מכשירים של חברות כמו אינטל, ברודקום, אפל, גוגל, מיקרוסופט, CSR, Logitech, Infineon, Bose, Dell ו-Xiaomi.

מהות הפגיעות מסתכמת ביכולת, מבלי להפר את התקן, לאלץ חיבור להשתמש במצב LSC הישן ובמפתח הפעלה קצר (SK) לא אמין, על ידי ציון האנטרופיה המינימלית האפשרית במהלך תהליך המשא ומתן על החיבור והתעלמות תוכן התגובה עם פרמטרי אימות (CR), מה שמוביל ליצירת מפתח הפעלה המבוסס על פרמטרי קלט קבועים (מפתח ההפעלה SK מחושב כ-KDF מהמפתח הקבוע (PK) ופרמטרים שסוכמו במהלך ההפעלה) . לדוגמה, במהלך מתקפת MITM, תוקף יכול להחליף את הפרמטרים 𝐴𝐶 ו- 𝑆𝐷 בערכי אפס במהלך תהליך המשא ומתן על הפגישה, ולהגדיר את האנטרופיה 𝑆𝐸 ל-1, מה שיוביל ליצירת מפתח הפעלה 𝑆𝐾 עם אנטרופיה בפועל של 1 בייט (גודל האנטרופיה המינימלי הסטנדרטי הוא 7 בתים (56 סיביות), אשר ניתן להשוות באמינות לבחירת מפתח DES).

אם התוקף הצליח להשיג שימוש במפתח קצר יותר במהלך המשא ומתן על החיבור, אז הוא יכול להשתמש בכוח גס כדי לקבוע את המפתח הקבוע (PK) המשמש להצפנה ולהשיג פענוח של תעבורה בין מכשירים. מכיוון שהתקפת MITM יכולה להפעיל את השימוש באותו מפתח הצפנה, אם מפתח זה נמצא, ניתן להשתמש בו כדי לפענח את כל הפעלות העבר והעתיד שיירטו על ידי התוקף.

כדי לחסום נקודות תורפה, החוקר הציע לבצע שינויים בתקן המרחיבים את פרוטוקול LMP ומשנים את ההיגיון של השימוש ב-KDF (Key Derivation Function) בעת יצירת מפתחות במצב LSC. השינוי אינו שובר את התאימות לאחור, אך כן גורם להפעלת פקודת LMP המורחבת ולשלוח של 48 בתים נוספים. ה-Bluetooth SIG, האחראי על פיתוח תקני בלוטות', הציע לדחות חיבורים דרך ערוץ תקשורת מוצפן עם מפתחות בגודל של עד 7 בתים כאמצעי אבטחה. יישום שתמיד משתמש במצב אבטחה 4 רמה 4 מומלץ לדחות חיבורים עם מפתחות בגודל של עד 16 בתים.

מקור: OpenNet.ru