Даниеле Антониоли, истражувач за безбедност на Bluetooth, кој претходно ги разви техниките за напад BIAS, BLUR и KNOB, идентификуваше две нови пропусти (CVE-2023-24023) во механизмот за преговори за сесијата Bluetooth, кои влијаат на сите имплементации на Bluetooth што поддржуваат режими за безбедни врски.“ и „Безбедно едноставно спарување“, во согласност со спецификациите на Bluetooth Core 4.2-5.4. Како демонстрација на практичната примена на идентификуваните пропусти, развиени се 6 опции за напад кои ни овозможуваат да се вклопиме во врската помеѓу претходно спарените Bluetooth уреди. Кодот со имплементација на методи за напад и алатки за проверка на пропусти се објавени на GitHub.
Ранливостите беа идентификувани при анализата на механизмите опишани во стандардот за постигнување напредна тајност (Forward and Future Secrecy), кои се спротивставуваат на компромисот на копчињата за сесија во случај на одредување постојан клуч (копромитирањето на еден од постојаните клучеви не треба да води до дешифрирање на претходно пресретнати или идни сесии) и повторна употреба на клучеви со клучеви за сесија (клуч од една сесија не треба да се применува на друга сесија). Пронајдените пропусти овозможуваат заобиколување на наведената заштита и повторно користење на несигурен клуч за сесија во различни сесии. Ранливостите се предизвикани од недостатоци во основниот стандард, не се специфични за поединечни стекови Bluetooth и се појавуваат во чипови од различни производители.
Предложените методи за напад имплементираат различни опции за организирање на измама на класични (LSC, наследни безбедни врски базирани на застарени криптографски примитиви) и безбедни (SC, безбедни врски базирани на ECDH и AES-CCM) Bluetooth врски помеѓу системот и периферниот уред, како како и организирање на MITM врски.напади за конекции во режими LSC и SC. Се претпоставува дека сите имплементации на Bluetooth што се во согласност со стандардот се подложни на некоја варијанта на нападот BLUFFS. Методот беше демонстриран на 18 уреди од компании како што се Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell и Xiaomi.
Суштината на ранливостите се сведува на способноста, без прекршување на стандардот, да се принуди врската да го користи стариот режим LSC и несигурниот клуч за кратка сесија (SK), со наведување на минималната можна ентропија за време на процесот на преговори за поврзување и игнорирање на содржината на одговорот со параметри за автентикација (CR), што доведува до генерирање на клуч за сесија врз основа на постојани влезни параметри (клучот за сесија SK се пресметува како KDF од постојаниот клуч (PK) и параметрите договорени за време на сесијата) . На пример, за време на напад на MITM, напаѓачот може да ги замени параметрите 𝐴𝐶 и 𝑆𝐷 со нула вредности за време на процесот на преговарање на сесијата и да ја постави ентропијата 𝑆𝐸 на 1, што ќе доведе до формирање на клуч за сесија 𝐾 со вистинска ентропија 1 бајт (стандардната минимална големина на ентропија е 7 бајти (56 бита), што е споредливо во доверливост со изборот на копчиња DES).
Ако напаѓачот успеал да постигне употреба на пократок клуч за време на преговорите за поврзување, тогаш може да употреби брутална сила за да го одреди постојаниот клуч (PK) што се користи за шифрирање и да постигне дешифрирање на сообраќајот помеѓу уредите. Бидејќи нападот MITM може да ја активира употребата на истиот клуч за шифрирање, доколку се најде овој клуч, може да се користи за дешифрирање на сите минати и идни сесии пресретнати од напаѓачот.
За да се блокираат пропустите, истражувачот предложи да се направат промени во стандардот кои го прошируваат протоколот LMP и ја менуваат логиката на користење KDF (функција за изведување клучеви) при генерирање клучеви во режимот LSC. Промената не ја нарушува компатибилноста наназад, но предизвикува да се овозможи проширената LMP команда и да се испратат дополнителни 48 бајти. Bluetooth SIG, кој е одговорен за развивање на Bluetooth стандарди, предложи отфрлање на врски преку шифриран комуникациски канал со клучеви со големина до 7 бајти како безбедносна мерка. Имплементациите кои секогаш користат безбедносен режим 4 Ниво 4 се охрабруваат да одбиваат врски со клучеви со големина до 16 бајти.
Извор: opennet.ru