以前に BIAS、BLUR、および KNOB 攻撃手法を開発した Bluetooth セキュリティ研究者である Daniele Antonioli 氏は、Bluetooth セッション ネゴシエーション メカニズムに 2023 つの新しい脆弱性 (CVE-24023-4.2) を特定し、セキュア接続モードをサポートするすべての Bluetooth 実装に影響を与えました。 Bluetooth Core 5.4-6仕様に準拠した「セキュアシンプルペアリング」。 特定された脆弱性の実際的な適用のデモンストレーションとして、以前にペアリングされた Bluetooth デバイス間の接続に侵入できる XNUMX つの攻撃オプションが開発されました。 攻撃手法と脆弱性をチェックするユーティリティを実装したコードはGitHubで公開されている。
この脆弱性は、前方機密性 (Forward and Future Secrecy) を達成するための標準に記載されているメカニズムの分析中に特定されました。このメカニズムは、永久キーを決定する場合のセッション キーの侵害に対抗するものです (永久キーの XNUMX つが侵害されても危険にさらされることはありません)。以前に傍受されたセッションまたは将来のセッションの復号化)、およびセッション キーの再利用(あるセッションのキーを別のセッションに適用することはできません)。 見つかった脆弱性により、指定された保護をバイパスし、信頼性の低いセッション キーを別のセッションで再利用することが可能になります。 この脆弱性は基本規格の欠陥によって引き起こされ、個々の Bluetooth スタックに固有のものではなく、さまざまなメーカーのチップに現れます。
提案された攻撃方法は、システムと周辺機器間のクラシック (LSC、古い暗号化プリミティブに基づくレガシー セキュア コネクション) およびセキュア (SC、ECDH および AES-CCM に基づくセキュア コネクション) Bluetooth 接続のスプーフィングを組織化するためのさまざまなオプションを実装します。 MITM 接続の組織化、LSC および SC モードでの接続に対する攻撃。 この規格に準拠するすべての Bluetooth 実装は、BLUFFS 攻撃の何らかの亜種の影響を受けやすいと想定されています。 この方法は、Intel、Broadcom、Apple、Google、Microsoft、CSR、Logitech、Infineon、Bose、Dell、Xiaomi などの企業の 18 台のデバイスで実証されました。
この脆弱性の本質は、接続ネゴシエーション プロセス中に可能な最小限のエントロピーを指定し、認証パラメータ (CR) を含む応答の内容。これにより、永続的な入力パラメータに基づいてセッション キーが生成されます (セッション キー SK は、永続キー (PK) とセッション中に合意されたパラメータから KDF として計算されます)。 。 たとえば、MITM 攻撃中、攻撃者はセッション ネゴシエーション プロセス中にパラメータ 𝐴𝐶 と 𝑆𝐷 をゼロ値に置き換え、エントロピー 𝑆𝐸 を 1 に設定することができます。これにより、実際のエントロピーが 1 であるセッション キー 𝑆𝐾 が形成されます。 7 バイト (標準の最小エントロピー サイズは 56 バイト (XNUMX ビット) で、信頼性の点では DES キーの選択に匹敵します)。
攻撃者が接続ネゴシエーション中に短いキーの使用に成功した場合、ブルート フォースを使用して暗号化に使用される永続キー (PK) を特定し、デバイス間のトラフィックの復号化を達成することができます。 MITM 攻撃は同じ暗号化キーの使用を引き起こす可能性があるため、このキーが見つかると、攻撃者によって傍受された過去および将来のすべてのセッションを復号化するために使用される可能性があります。
脆弱性をブロックするために、研究者は、LMP プロトコルを拡張し、LSC モードで鍵を生成するときに KDF (Key Derivation Function) を使用するロジックを変更する標準を変更することを提案しました。 この変更により下位互換性は失われませんが、拡張 LMP コマンドが有効になり、追加の 48 バイトが送信されます。 Bluetooth 標準の開発を担当する Bluetooth SIG は、セキュリティ対策として、最大 7 バイトのキーで暗号化された通信チャネルを介した接続を拒否することを提案しました。 常にセキュリティ モード 4 レベル 4 を使用する実装では、サイズが 16 バイトまでのキーを含む接続を拒否することが推奨されます。
出所: オープンネット.ru
