Daniele Antonioli, en Bluetooth-säkerhetsforskare som tidigare utvecklat BIAS-, BLUR- och KNOB-attackteknikerna, har identifierat två nya sårbarheter (CVE-2023-24023) i Bluetooth-sessionsförhandlingsmekanismen, som påverkar alla Bluetooth-implementeringar som stöder Secure Connections-lägen." och "Secure Simple Pairing", som uppfyller Bluetooth Core 4.2-5.4-specifikationerna. Som en demonstration av den praktiska tillämpningen av de identifierade sårbarheterna har 6 attackalternativ utvecklats som gör att vi kan kila in i anslutningen mellan tidigare ihopparade Bluetooth-enheter. Koden med implementering av attackmetoder och verktyg för att kontrollera sårbarheter publiceras på GitHub.
Sårbarheterna identifierades under analysen av de mekanismer som beskrivs i standarden för att uppnå framåtsekretess (Forward and Future Secrecy), som motverkar kompromiss av sessionsnycklar vid fastställande av en permanent nyckel (komprometterande av en av de permanenta nycklarna bör inte leda till till dekryptering av tidigare avlyssnade eller framtida sessioner) och återanvändning av sessionsnycklar (en nyckel från en session bör inte vara tillämplig på en annan session). De upptäckta sårbarheterna gör det möjligt att kringgå det angivna skyddet och återanvända en opålitlig sessionsnyckel i olika sessioner. Sårbarheterna orsakas av brister i basstandarden, är inte specifika för enskilda Bluetooth-stackar och förekommer i chips från olika tillverkare.
De föreslagna attackmetoderna implementerar olika alternativ för att organisera spoofing av klassiska (LSC, Legacy Secure Connections baserade på föråldrade kryptografiska primitiver) och säkra (SC, Secure Connections baserade på ECDH och AES-CCM) Bluetooth-anslutningar mellan systemet och en kringutrustning, som samt organisera MITM-anslutningar attacker för anslutningar i LSC- och SC-lägen. Det antas att alla Bluetooth-implementationer som följer standarden är mottagliga för någon variant av BLUFFS-attacken. Metoden demonstrerades på 18 enheter från företag som Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell och Xiaomi.
Kärnan i sårbarheterna handlar om förmågan, utan att bryta mot standarden, att tvinga en anslutning att använda det gamla LSC-läget och en opålitlig kort sessionsnyckel (SK), genom att specificera minsta möjliga entropi under anslutningsförhandlingsprocessen och ignorera innehållet i svaret med autentiseringsparametrar (CR), vilket leder till generering av en sessionsnyckel baserad på permanenta indataparametrar (sessionsnyckeln SK beräknas som KDF från den permanenta nyckeln (PK) och parametrar som överenskommits under sessionen) . Till exempel, under en MITM-attack kan en angripare ersätta parametrarna 𝐴𝐶 och 𝑆𝐷 med nollvärden under sessionsförhandlingsprocessen och ställa in entropin 𝑆𝐸 till 1, vilket kommer att leda till bildandet av en sessionsnyckel 𝑆𝐾 med en faktisk entropi av 1 byte (standardens minsta entropistorlek är 7 byte (56 bitar), vilket är jämförbart i tillförlitlighet med DES-nyckelval).
Om angriparen lyckades använda en kortare nyckel under anslutningsförhandlingen, kan han använda brute force för att fastställa den permanenta nyckeln (PK) som används för kryptering och uppnå dekryptering av trafik mellan enheter. Eftersom en MITM-attack kan utlösa användningen av samma krypteringsnyckel, om denna nyckel hittas, kan den användas för att dekryptera alla tidigare och framtida sessioner som fångas upp av angriparen.
För att blockera sårbarheter föreslog forskaren att göra ändringar i standarden som utökar LMP-protokollet och ändrar logiken för att använda KDF (Key Derivation Function) när nycklar genereras i LSC-läge. Ändringen bryter inte bakåtkompatibiliteten, men gör att det utökade LMP-kommandot aktiveras och ytterligare 48 byte skickas. Bluetooth SIG, som ansvarar för att utveckla Bluetooth-standarder, har föreslagit att avvisa anslutningar över en krypterad kommunikationskanal med nycklar upp till 7 byte stora som en säkerhetsåtgärd. Implementeringar som alltid använder säkerhetsläge 4 nivå 4 uppmuntras att avvisa anslutningar med nycklar upp till 16 byte stora.
Källa: opennet.ru