Daniele Antonioli, raziskovalec varnosti Bluetooth, ki je pred tem razvil tehnike napadov BIAS, BLUR in KNOB, je v mehanizmu pogajanj o sejah Bluetooth odkril dve novi ranljivosti (CVE-2023-24023). Ti ranljivosti vplivata na vse implementacije Bluetooth, ki podpirajo načina »Varne povezave« in »Varno preprosto združevanje«, kot sta opredeljena v Bluetooth Core 4.2-5.4. Za demonstracijo praktične uporabe teh ranljivosti je bilo razvitih šest različic napadov, ki omogočajo motenje povezav med predhodno seznanjenimi napravami Bluetooth. Koda, ki izvaja metode napada, in orodja za testiranje ranljivosti so bila objavljena na GitHubu.
Ranljivosti so bile odkrite med analizo mehanizmov standarda za posredovanje naprej in v prihodnje tajnosti, ki preprečujejo ogrožanje sejnih ključev, ko je določen trajni ključ (ogrožanje enega od trajnih ključev ne sme voditi do dešifriranja prej prestreženih ali prihodnjih sej) in ponovno uporabo sejnega ključa (ključ iz ene seje ne sme veljati za drugo sejo). Ugotovljene ranljivosti omogočajo obhod te zaščite in ponovno uporabo nezaščitenega sejnega ključa v različnih sejah. Ranljivosti povzročajo pomanjkljivosti v osnovnem standardu, niso specifične za posamezne sklade Bluetooth in se kažejo v čipih različnih proizvajalcev.
Predlagane metode napada izvajajo različne tehnike ponarejanja za klasične (LSC, Legacy Secure Connections, ki temeljijo na starejših kriptografskih primitivih) in varne (SC, Secure Connections, ki temeljijo na ECDH in AES-CCM) povezave Bluetooth med sistemom in periferno napravo, kot tudi napade »človek vmes« na povezave v načinih LSC in SC. Predpostavlja se, da so vse implementacije Bluetooth, ki so skladne s standardom, dovzetne za neko različico napada BLUFFS. Metoda je bila demonstrirana na 18 napravah podjetij, vključno z Intelom, Broadcomom, Appleom, Googlom, Microsoftom, CSR, Logitechom, Infineonom, Boseom, Dellom in Xiaomi.
Bistvo ranljivosti se skrči na možnost, da se brez kršenja standarda prisili povezava k uporabi starega načina LSC in nezanesljivega kratkega ključa seje (SK), tako da se med postopkom pogajanj o povezavi določi najmanjša možna entropija in se ignorira vsebina odgovora s parametri za preverjanje pristnosti (CR), kar vodi do generiranja ključa seje na podlagi konstantnih vhodnih parametrov (ključ seje SK se izračuna kot KDF iz konstantnega ključa (PK) in parametrov, dogovorjenih med sejo). Na primer, med napadom MITM lahko napadalec med postopkom pogajanj o seji parametra 𝐴𝐶 in 𝑆𝐷 nadomesti z ničelnimi vrednostmi ter entropijo 𝑆𝐸 nastavi na 1, kar bo vodilo do oblikovanja ključa seje 𝑆𝐾 z dejansko entropijo 1 bajta (standardna najmanjša velikost entropije je 7 bajtov (56 bitov), kar je glede zanesljivosti primerljivo z izbiro ključev DES).
Če napadalcu med pogajanji o povezavi uspe pridobiti krajši ključ, lahko nato z uporabo surove sile določi trajni ključ (PK), ki se uporablja za šifriranje in dešifriranje prometa med napravami. Ker lahko napad MITM sproži uporabo istega šifrirnega ključa, se lahko ta ključ, če je uporabljen s surovo silo, uporabi za dešifriranje vseh preteklih in prihodnjih sej, ki jih je napadalec prestregel.
Za ublažitev ranljivosti je raziskovalec predlagal spremembe standarda, ki razširjajo protokol LMP in spreminjajo logiko za uporabo funkcije izpeljave ključev (KDF) pri ustvarjanju ključev v načinu LSC. Ta sprememba ne krši združljivosti s prejšnjimi različicami, vendar zahteva vključitev razširjenega ukaza LMP in potrebo po pošiljanju dodatnih 48 bajtov. Bluetooth SIG, organizacija, odgovorna za razvoj standardov Bluetooth, je kot varnostni ukrep predlagala zavrnitev šifriranih kanalskih povezav s ključi do 7 bajtov. Implementacije, ki vedno uporabljajo varnostni način 4 (stopnja 4), naj bi zavrnile povezave s ključi do 16 bajtov.
Vir: opennet.ru
