Раскрыты (https://francozappa.github.io/post/knob-announce/) сведения (https://www.usenix.org/system/files/sec19-antonioli.pdf) об атаке KNOB (https://knobattack.com/) (Key Negotiation Of Bluetooth), позволяющей организовать перехват и подстановку информации в шифрованном Bluetooth-трафике. Имея возможность блокировать прямую передачу пакетов в процессе согласования соединения Bluetooth-устройств, атакующий может добиться задействования для сеанса ключей, содержащих всего 1 байт энтропии, что позволяет применить метод прямого перебора (brute-force) для определения ключа шифрования.
Проблема вызвана недоработками (CVE-2019-9506) в спецификации Bluetooth BR/EDR Core 5.1 и более ранних версиях, допускающих использование слишком коротких ключей шифрования и не препятствующими вмешательству атакующего на этапе согласования соединения для отката на подобные ненадёжные ключи (возможно подстановка пакетов неаутентифицированным атакующим). Атака может быть совершена в момент согласования соединения сопряженных устройств (уже установленные сеансы не могут быть атакованы) и эффективна только для соединений в режимах BR/EDR (Bluetooth Basic Rate/Enhanced Data Rate), если оба устройства подвержены уязвимости. В случае успешного подбора ключа злоумышленник может расшифровать передаваемые данные и незаметно от жертвы выполнить подстановку в трафик произвольного шифротекста.
При установке соединения между двумя Bluetooth-контроллерами A и B контроллер A после аутентификации по канальному ключу (link key) может предложить использовать для ключа шифрования (encryption key) 16 байт энтропии, но контроллер B может согласиться с этим значением или указать меньшее значение, в случае если не имеет возможности сформировать ключ предложенного размер. В ответ контроллер A может принять ответное предложение и активировать шифрованный канал связи. На данном этапе согласования параметров не применяется шифрование, поэтому атакующий имеет возможность вклиниться в обмен данными между контроллерами и подменить пакет с предложенным размером энтропии. Так как допустимый размер ключа варьируется от 1 до 16 байт, второй контроллер примет данное значение и отправит своё подтверждение с указанием аналогичного размера.
Для воспроизведения уязвимости в лабораторных условиях (активность злоумышленника эмитировалась на одном из устройств) предложен
прототип инструментария (https://github.com/francozappa/knob/tree/master/poc-internal...) для проведения атаки.
Для реальной атаки атакующий должен быть в зоне приёма устройств жертв и иметь возможность кратковременного блокирования сигнала от каждой жертвы, что может быть реализовано через манипулирование сигналом или реактивное глушение.
Организация Bluetooth SIG, отвечающая за разработку стандартов Bluetooth, опубликовала (https://www.bluetooth.com/security/statement-key-negotiation.../) корректировку спецификации под номером 11838, в которой для реализации производителями предложены меры для блокирования уязвимости (минимальный размер ключа шифрования повышен с 1 до 7). Проблема проявляется (https://www.kb.cert.org/vuls/id/918987/) во всех (https://www.icasi.org/br-edr-encryption-key-bluetooth-vulner.../) соответствующих стандарту Bluetooth-стеках и прошивках Bluetooth-чипов, включая продукты Intel (https://software.intel.com/security-software-guidance/insigh...), Broadcom, Lenovo (https://support.lenovo.com/us/en/product_security/LEN-27173), Apple (https://support.apple.com/kb/HT201222), Microsoft (https://portal.msrc.microsoft.com/en-US/security-guidance/ad...), Qualcomm, Linux, Android (https://source.android.com/security/bulletin/2019-08-01), Blackberry (http://support.blackberry.com/kb/articleDetail?articleNumber...) и Cisco (https://tools.cisco.com/security/center/content/CiscoSecurit...) (из 14 протестированных чипов все оказались уязвимы). В Bluetooth-стек ядра Linux внесено (https://git.kernel.org/pub/scm/linux/kernel/git/bluetooth/bl...) исправление, позволяющее изменять минимальный размер ключа шифрования.
URL: https://francozappa.github.io/post/knob-announce/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51303
