Daniele Antonioli, bezpečnostný výskumník Bluetooth, ktorý predtým vyvinul techniky útoku BIAS, BLUR a KNOB, identifikoval dve nové zraniteľnosti (CVE-2023-24023) v mechanizme vyjednávania relácie Bluetooth, ktoré ovplyvňujú všetky implementácie Bluetooth, ktoré podporujú režimy Secure Connections. "Secure Simple Pairing", v súlade so špecifikáciami Bluetooth Core 4.2-5.4. Ako demonštrácia praktickej aplikácie identifikovaných zraniteľností bolo vyvinutých 6 možností útoku, ktoré nám umožňujú vkliniť sa do spojenia medzi predtým spárovanými Bluetooth zariadeniami. Kód s implementáciou metód útoku a utilít na kontrolu zraniteľností sú zverejnené na GitHub.
Zraniteľnosti boli identifikované pri analýze mechanizmov opísaných v štandarde na dosiahnutie dopredného utajenia (Forward and Future Secrecy), ktoré pôsobia proti kompromitácii kľúčov relácie v prípade určenia trvalého kľúča (kompromitovanie jedného z trvalých kľúčov by nemalo viesť na dešifrovanie predtým zachytených alebo budúcich relácií) a opätovné použitie kľúčov relácií (kľúč z jednej relácie by sa nemal vzťahovať na inú reláciu). Nájdené zraniteľnosti umožňujú obísť špecifikovanú ochranu a opätovne použiť nespoľahlivý kľúč relácie v rôznych reláciách. Zraniteľnosť je spôsobená chybami v základnom štandarde, nie sú špecifické pre jednotlivé Bluetooth stacky a objavujú sa v čipoch od rôznych výrobcov.
Navrhované metódy útoku implementujú rôzne možnosti organizácie spoofingu klasických (LSC, Legacy Secure Connections založené na zastaraných kryptografických primitívach) a bezpečných (SC, Secure Connections založené na ECDH a AES-CCM) Bluetooth pripojení medzi systémom a periférnym zariadením, ako napr. ako aj organizovanie pripojení MITM.útoky na pripojenia v režimoch LSC a SC. Predpokladá sa, že všetky implementácie Bluetooth, ktoré sú v súlade so štandardom, sú náchylné na nejaký variant BLUFFS útoku. Metóda bola demonštrovaná na 18 zariadeniach od spoločností ako Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell a Xiaomi.
Podstata zraniteľností spočíva v schopnosti prinútiť pripojenie použiť starý režim LSC a nespoľahlivý kľúč krátkej relácie (SK) bez porušenia štandardu zadaním minimálnej možnej entropie počas procesu vyjednávania o pripojení a ignorovaním obsah odpovede s autentifikačnými parametrami (CR), čo vedie k vygenerovaniu kľúča relácie na základe trvalých vstupných parametrov (kľúč relácie SK sa vypočíta ako KDF z trvalého kľúča (PK) a parametrov dohodnutých počas relácie) . Napríklad počas útoku MITM môže útočník počas procesu vyjednávania relácie nahradiť parametre 𝐴𝐶 a 𝑆𝐷 nulovými hodnotami a nastaviť entropiu 𝑆𝐸 na 1, čo povedie k vytvoreniu kľúča relácie 𝑆𝐾 so skutočnou entropiou 1 bajt (štandardná minimálna veľkosť entropie je 7 bajtov (56 bitov), čo je spoľahlivosťou porovnateľné s výberom kľúča DES).
Ak sa útočníkovi pri vyjednávaní spojenia podarilo dosiahnuť použitie kratšieho kľúča, potom môže pomocou hrubej sily určiť trvalý kľúč (PK) používaný na šifrovanie a dosiahnuť dešifrovanie prevádzky medzi zariadeniami. Keďže útok MITM môže spustiť použitie rovnakého šifrovacieho kľúča, ak sa tento kľúč nájde, možno ho použiť na dešifrovanie všetkých minulých a budúcich relácií zachytených útočníkom.
Na zablokovanie zraniteľností výskumník navrhol vykonať zmeny v štandarde, ktoré rozšíria protokol LMP a zmenia logiku používania KDF (Key Derivation Function) pri generovaní kľúčov v režime LSC. Táto zmena nenaruší spätnú kompatibilitu, ale spôsobí aktiváciu rozšíreného príkazu LMP a odoslanie ďalších 48 bajtov. Bluetooth SIG, ktorý je zodpovedný za vývoj štandardov Bluetooth, navrhol ako bezpečnostné opatrenie odmietnutie pripojení cez šifrovaný komunikačný kanál s kľúčmi s veľkosťou až 7 bajtov. Implementáciám, ktoré vždy používajú bezpečnostný režim 4, úroveň 4, sa odporúča odmietnuť pripojenia s kľúčmi s veľkosťou až 16 bajtov.
Zdroj: opennet.ru