Daniele Antonioli นักวิจัยด้านความปลอดภัยบลูทูธ ซึ่งเคยพัฒนาเทคนิคการโจมตีแบบ BIAS, BLUR และ KNOB ได้ค้นพบช่องโหว่ใหม่สองรายการ (CVE-2023-24023) ในกลไกการเจรจาต่อรองเซสชันบลูทูธ ช่องโหว่เหล่านี้ส่งผลกระทบต่อการใช้งานบลูทูธทั้งหมดที่รองรับโหมด "Secure Connections" และ "Secure Simple Pairing" ตามที่กำหนดไว้ใน Bluetooth Core 4.2-5.4 เพื่อสาธิตการใช้งานช่องโหว่เหล่านี้ในทางปฏิบัติ ได้มีการพัฒนารูปแบบการโจมตีหกรูปแบบที่อนุญาตให้รบกวนการเชื่อมต่อระหว่างอุปกรณ์บลูทูธที่จับคู่กันก่อนหน้านี้ โค้ดที่ใช้วิธีการโจมตีและเครื่องมือสำหรับการทดสอบช่องโหว่เหล่านี้ได้รับการเผยแพร่บน GitHub แล้ว
ช่องโหว่เหล่านี้ถูกระบุระหว่างการวิเคราะห์กลไกการรักษาความลับทั้งแบบไปข้างหน้าและแบบในอนาคตของมาตรฐาน ซึ่งป้องกันการบุกรุกคีย์เซสชันเมื่อระบุคีย์ถาวร (การบุกรุกคีย์ถาวรตัวใดตัวหนึ่งไม่ควรนำไปสู่การถอดรหัสเซสชันที่ถูกสกัดกั้นก่อนหน้านี้หรือเซสชันในอนาคต) และการนำคีย์เซสชันกลับมาใช้ใหม่ (คีย์จากเซสชันหนึ่งไม่ควรนำไปใช้กับเซสชันอื่น) ช่องโหว่ที่ระบุนี้ช่วยให้สามารถข้ามการป้องกันนี้และนำคีย์เซสชันที่ไม่ปลอดภัยกลับมาใช้ซ้ำในเซสชันอื่นๆ ได้ ช่องโหว่เหล่านี้เกิดจากข้อบกพร่องในมาตรฐานพื้นฐาน ไม่ได้จำเพาะเจาะจงกับสแต็กบลูทูธแต่ละชุด และปรากฏในชิปจากผู้ผลิตหลายราย
วิธีโจมตีที่นำเสนอนี้ใช้เทคนิคการปลอมแปลงที่หลากหลายสำหรับการเชื่อมต่อบลูทูธแบบคลาสสิก (LSC, Legacy Secure Connections ที่ใช้การเข้ารหัสแบบดั้งเดิม) และการเชื่อมต่อบลูทูธแบบปลอดภัย (SC, Secure Connections ที่ใช้ ECDH และ AES-CCM) ระหว่างระบบและอุปกรณ์ต่อพ่วง รวมถึงการโจมตีแบบ man-in-the-middle บนการเชื่อมต่อในโหมด LSC และ SC สันนิษฐานว่าการใช้งานบลูทูธทั้งหมดที่สอดคล้องกับมาตรฐานนี้มีความเสี่ยงต่อการโจมตีแบบ BLUFFS ในรูปแบบใดรูปแบบหนึ่ง วิธีการนี้ได้รับการสาธิตในอุปกรณ์ 18 เครื่องจากบริษัทต่างๆ ได้แก่ Intel, Broadcom, Apple, Google, Microsoft, CSR, Logitech, Infineon, Bose, Dell และ Xiaomi
แก่นแท้ของช่องโหว่สรุปได้ว่าเป็นความสามารถที่จะบังคับให้การเชื่อมต่อใช้โหมด LSC เก่าและคีย์เซสชันสั้น (SK) ที่ไม่น่าเชื่อถือ โดยไม่ละเมิดมาตรฐาน โดยระบุเอนโทรปีขั้นต่ำที่เป็นไปได้ในระหว่างกระบวนการเจรจาการเชื่อมต่อและละเลยเนื้อหาของการตอบสนองด้วยพารามิเตอร์การตรวจสอบสิทธิ์ (CR) ซึ่งนำไปสู่การสร้างคีย์เซสชันโดยอิงจากพารามิเตอร์อินพุตคงที่ (คีย์เซสชัน SK จะถูกคำนวณเป็น KDF จากคีย์คงที่ (PK) และพารามิเตอร์ที่ตกลงกันในระหว่างเซสชัน) ตัวอย่างเช่น ในระหว่างการโจมตีแบบ MITM ผู้โจมตีสามารถแทนที่พารามิเตอร์ 𝐴𝐶 และ 𝑆𝐷 ด้วยค่าศูนย์ในระหว่างกระบวนการเจรจาเซสชัน และตั้งค่าเอนโทรปี 𝑆𝐸 เป็น 1 ซึ่งจะนำไปสู่การสร้างคีย์เซสชัน 𝑆𝐾 ที่มีเอนโทรปีจริง 1 ไบต์ (ขนาดเอนโทรปีขั้นต่ำมาตรฐานคือ 7 ไบต์ (56 บิต) ซึ่งเทียบได้กับความน่าเชื่อถือของการเลือกคีย์ DES)
หากผู้โจมตีสามารถดึงคีย์ที่สั้นกว่าได้สำเร็จในระหว่างการเจรจาการเชื่อมต่อ พวกเขาสามารถใช้บรูทฟอร์ซเพื่อระบุคีย์ถาวร (PK) ที่ใช้สำหรับการเข้ารหัสและถอดรหัสการรับส่งข้อมูลระหว่างอุปกรณ์ เนื่องจากการโจมตีแบบ MITM สามารถเริ่มต้นการใช้คีย์การเข้ารหัสเดียวกันได้ หากคีย์นี้ถูกบรูทฟอร์ซ ก็สามารถใช้ถอดรหัสเซสชันทั้งหมดในอดีตและอนาคตที่ถูกสกัดกั้นโดยผู้โจมตีได้
เพื่อบรรเทาช่องโหว่ นักวิจัยได้เสนอการเปลี่ยนแปลงมาตรฐานที่ขยายโพรโทคอล LMP และปรับเปลี่ยนตรรกะสำหรับการใช้ฟังก์ชัน Key Derivation Function (KDF) เมื่อสร้างคีย์ในโหมด LSC การเปลี่ยนแปลงนี้ไม่ได้ส่งผลกระทบต่อความเข้ากันได้แบบย้อนหลัง แต่จำเป็นต้องมีการรวมคำสั่ง LMP แบบขยายและความจำเป็นในการส่งข้อมูลเพิ่มอีก 48 ไบต์ Bluetooth SIG ซึ่งเป็นองค์กรที่รับผิดชอบในการพัฒนามาตรฐานบลูทูธ ได้เสนอให้ปฏิเสธการเชื่อมต่อช่องสัญญาณที่เข้ารหัสด้วยคีย์ขนาดไม่เกิน 7 ไบต์เพื่อเป็นมาตรการรักษาความปลอดภัย ขอแนะนำให้ใช้งานที่ต้องใช้ Security Mode 4 Level 4 เสมอเพื่อปฏิเสธการเชื่อมต่อด้วยคีย์ขนาดไม่เกิน 16 ไบต์
ที่มา: opennet.ru
