Daniele Antonioli, varnostni raziskovalec Bluetooth, ki je pred tem razvil tehnike napadov BIAS, BLUR in KNOB, je odkril dve novi ranljivosti (CVE-2023-24023) v mehanizmu za pogajanja o seji Bluetooth, ki vplivata na vse izvedbe Bluetooth, ki podpirajo načine varnih povezav. " in "Secure Simple Pairing", v skladu s specifikacijami Bluetooth Core 4.2-5.4. Kot prikaz praktične uporabe ugotovljenih ranljivosti je bilo razvitih 6 možnosti napada, ki nam omogočajo, da se vtaknemo v povezavo med predhodno seznanjenimi napravami Bluetooth. Koda z implementacijo metod napada in pripomočki za preverjanje ranljivosti so objavljeni na GitHubu.
Ranljivosti so bile ugotovljene med analizo mehanizmov, opisanih v standardu za doseganje vnaprejšnje tajnosti (Forward and Future Secrecy), ki preprečujejo ogrožanje sejnih ključev v primeru določanja trajnega ključa (ogrožanje enega od trajnih ključev ne sme voditi za dešifriranje predhodno prestreženih ali prihodnjih sej) in ponovna uporaba ključev sejnih ključev (ključ iz ene seje ne sme biti uporaben za drugo sejo). Najdene ranljivosti omogočajo obhod navedene zaščite in ponovno uporabo nezanesljivega ključa seje v različnih sejah. Ranljivosti povzročajo napake v osnovnem standardu, niso specifične za posamezne nize Bluetooth in se pojavljajo v čipih različnih proizvajalcev.
Predlagani načini napada izvajajo različne možnosti organiziranja lažnega predstavljanja klasičnih (LSC, Legacy Secure Connections, ki temeljijo na zastarelih kriptografskih primitivih) in varnih (SC, Secure Connections, ki temeljijo na ECDH in AES-CCM) Bluetooth povezav med sistemom in periferno napravo, kot tudi organiziranje MITM povezav napadi na povezave v načinih LSC in SC. Predpostavlja se, da so vse izvedbe Bluetooth, ki so skladne s standardom, dovzetne za nekatere različice napada BLUFFS. Metoda je bila prikazana na 18 napravah podjetij, kot so Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell in Xiaomi.
Bistvo ranljivosti se skrči na zmožnost, brez kršitve standarda, prisiliti povezavo v uporabo starega načina LSC in nezanesljivega ključa kratke seje (SK), tako da med postopkom pogajanj o povezavi določite najmanjšo možno entropijo in ignorirate vsebina odgovora z avtentikacijskimi parametri (CR), ki vodi do generiranja ključa seje na podlagi trajnih vhodnih parametrov (ključ seje SK se izračuna kot KDF iz stalnega ključa (PK) in parametrov, dogovorjenih med sejo) . Na primer, med napadom MITM lahko napadalec zamenja parametra 𝐴𝐶 in 𝑆𝐷 z ničelnimi vrednostmi med postopkom pogajanj o seji in nastavi entropijo 𝑆𝐸 na 1, kar bo vodilo do oblikovanja ključa seje 𝑆𝐾 z dejansko entropijo 1 bajt (standardna najmanjša entropijska velikost je 7 bajtov (56 bitov), kar je po zanesljivosti primerljivo z izbiro ključa DES).
Če je napadalcu med pogajanji o povezavi uspelo doseči uporabo krajšega ključa, lahko s surovo silo določi stalni ključ (PK), ki se uporablja za šifriranje in doseže dešifriranje prometa med napravami. Ker lahko napad MITM sproži uporabo istega šifrirnega ključa, se lahko, če je ta ključ najden, uporabi za dešifriranje vseh preteklih in prihodnjih sej, ki jih je napadalec prestregel.
Za blokiranje ranljivosti je raziskovalec predlagal spremembe standarda, ki razširijo protokol LMP in spremenijo logiko uporabe KDF (Key Derivation Function) pri generiranju ključev v načinu LSC. Sprememba ne prekine združljivosti za nazaj, vendar povzroči, da je razširjeni ukaz LMP omogočen in poslanih dodatnih 48 bajtov. Bluetooth SIG, ki je odgovoren za razvoj standardov Bluetooth, je kot varnostni ukrep predlagal zavrnitev povezav prek šifriranega komunikacijskega kanala s ključi, velikimi do 7 bajtov. Izvedbe, ki vedno uporabljajo varnostni način 4, raven 4, se spodbujajo k zavrnitvi povezav s ključi, velikimi do 16 bajtov.
Vir: opennet.ru