Den Daniele Antonioli, e Bluetooth Sécherheetsfuerscher, dee virdru d'BIAS, BLUR a KNOB Attacke Techniken entwéckelt huet, huet zwee nei Schwachstelle (CVE-2023-24023) am Bluetooth Sessiounsverhandlungsmechanismus identifizéiert, déi all Bluetooth Implementatiounen beaflossen déi Secure Connections Modi ënnerstëtzen. "Secure Simple Pairing", entsprécht Bluetooth Core 4.2-5.4 Spezifikatioune. Als Demonstratioun vun der praktescher Uwendung vun den identifizéierten Schwachstelle sinn 6 Attackoptiounen entwéckelt ginn, déi eis erlaben an d'Verbindung tëscht virdrun gepaart Bluetooth-Geräter ze keilen. De Code mat der Ëmsetzung vun Attackemethoden an Utilities fir Schwieregkeeten ze kontrolléieren ginn op GitHub publizéiert.
D'Schwieregkeeten goufen identifizéiert während der Analyse vun de Mechanismen, déi am Standard beschriwwe ginn fir d'Forward Geheimnis z'erreechen (Forward and Future Secrecy), déi de Kompromëss vu Sessiounsschlësselen am Fall vun der Bestëmmung vun engem permanente Schlëssel entgéintwierken (Kompromittéiere vun engem vun de permanente Schlësselen däerf net féieren op d'Entschlësselung vu virdru ofgefaangen oder zukünfteg Sessiounen) a Wiederverwendung vu Sessiounsschlësselschlësselen (e Schlëssel vun enger Sessioun sollt net op eng aner Sessioun applicabel sinn). Déi fonnt Schwachstelle maachen et méiglech de spezifizéierte Schutz ëmzegoen an en onverlässlechen Sessiounsschlëssel a verschiddene Sessiounen ze benotzen. D'Schwieregkeeten ginn duerch Mängel am Basisstandard verursaacht, sinn net spezifesch fir eenzel Bluetooth-Stacken, a schéngen a Chips vu verschiddene Hiersteller.
Déi proposéiert Attackemethoden implementéieren verschidde Méiglechkeeten fir d'Organisatioun vu Spoofing vu klassesche (LSC, Legacy Secure Connections baséiert op alen kryptografesche Primitiven) a sécher (SC, Secure Connections baséiert op ECDH an AES-CCM) Bluetooth Verbindungen tëscht dem System an engem Peripheriegerät, wéi och organiséieren MITM Verbindungen.Attacke fir Verbindungen am LSC an SC Modi. Et gëtt ugeholl datt all Bluetooth Implementatiounen, déi dem Standard entspriechen, ufälleg sinn fir eng Variant vum BLUFFS Attack. D'Methode gouf op 18 Apparater vun Firmen wéi Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell a Xiaomi demonstréiert.
D'Essenz vun de Schwachstelle kacht op d'Fäegkeet, ouni de Standard ze verletzen, eng Verbindung ze zwéngen fir den alen LSC Modus an en onzouverlässeg Short Sessiounsschlëssel (SK) ze benotzen, andeems Dir déi minimal méiglech Entropie während der Verbindungsverhandlungsprozess spezifizéiert an ignoréiert Inhalter vun der Äntwert mat Authentifikatiounsparameter (CR), wat zu der Generatioun vun engem Sessiounsschlëssel féiert op Basis vun permanenten Inputparameter (de Sessiounsschlëssel SK gëtt als KDF vum permanente Schlëssel (PK) berechent a Parameteren, déi während der Sessioun ausgemaach sinn) . Zum Beispill, während engem MITM Attack, kann en Ugräifer d'Parameteren 𝐴𝐶 an 𝑆𝐷 mat Nullwäerter wärend dem Sessiounsverhandlungsprozess ersetzen, an d'Entropie 𝑆𝐸 op 1 setzen, wat zu der Bildung vun engem Sessiounsschlëssel 𝑆𝐾 mat engem aktuellen Entropie vun 1 Byte (déi Standard Minimum Entropie Gréisst ass 7 Bytes (56 Bits), wat an Zouverlässegkeet vergläichbar ass mat DES Schlëssel Auswiel).
Wann den Ugräifer et fäerdeg bruecht huet d'Benotzung vun engem méi kuerze Schlëssel während der Verbindungsverhandlung z'erreechen, da kann hien brute Kraaft benotzen fir de permanente Schlëssel (PK) ze bestëmmen deen fir Verschlësselung benotzt gëtt an d'Entschlësselung vum Traffic tëscht Apparater z'erreechen. Zënter engem MITM-Attack kann d'Benotzung vum selwechte Verschlësselungsschlëssel ausléisen, wann dëse Schlëssel fonnt gëtt, kann et benotzt ginn fir all vergaangen an zukünfteg Sessiounen ze entschlësselen, déi vum Ugräifer ofgefaangen sinn.
Fir Schwachstelle ze blockéieren, huet de Fuerscher proposéiert Ännerunge fir de Standard ze maachen, deen den LMP-Protokoll ausbaut an d'Logik verännert fir KDF (Key Derivation Function) ze benotzen wann Dir Schlësselen am LSC Modus generéiert. D'Ännerung brécht keng Réckkompatibilitéit, awer verursaacht datt de erweiderten LMP Kommando aktivéiert gëtt an eng zousätzlech 48 Bytes geschéckt ginn. De Bluetooth SIG, dee verantwortlech ass fir d'Bluetooth Standards z'entwéckelen, huet proposéiert d'Verbindungen iwwer e verschlësselte Kommunikatiounskanal mat Schlësselen bis zu 7 Bytes an der Gréisst als Sécherheetsmoossnam ze refuséieren. Implementatiounen déi ëmmer Sécherheetsmodus 4 Level 4 benotzen, ginn encouragéiert fir Verbindunge mat Schlësselen bis zu 16 Bytes an der Gréisst ze refuséieren.
Source: opennet.ru