Уязвимость шифрования в различных реализациях Bluetooth

Недостаток в протоколе Bluetooth оставался без внимания более десятилетия, но гром все-таки грянул. Проверьте свои устройства!

Израильские ученые Эли Бихам Лиор и Ньюман обнаружили серьезную криптографическую уязвимость в спецификации стандарта Bluetooth. Брешь позволяет злоумышленнику осуществить атаку "человек посередине ^[1]" для перехвата и подмены ключей шифрования во время установки соединения между двумя устройствами. Проблема связана с недостаточной проверкой параметров безопасности и затрагивает реализацию протокола в драйверах устройств вендоров таких как Apple, Qualcomm, Intel и Broadcom и многих других.

Уязвимость под номером CVE-2018-5383 ^[2], о которой объявила ^[3] Bluetooth SIG, потенциально позволяет злоумышленникам вмешаться в процесс сопряжения двух устройств по Bluetooth.

Изображение digit.in ^[4]

Как спариваются Bluetooth-устройства

В ходе процесса сопряжения устройства «договариваются» о создании общего закрытого ключа, который будет в дальнейшем использоваться для шифрования данных. Первоначальный обмен данными происходит по незащищенному радио-каналу в рамках протокола elliptic-curve Diffie-Hellman ^[5] (ECDH).

Во время сопряжения два устройства устанавливают отношения, создавая общий секрет, известный как ключ связи (link key). Если оба устройства хранят один и тот же ключ связи, они называются спаренными или сопряженными. Устройство, которое хочет связываться только с сопряженным устройством, может криптографически аутентифицировать идентификатор другого устройства, гарантируя, что оно является тем же самым устройством, с которым оно ранее сопрягалось. После того, как будет создан ключ связи, связь по коммуникационному протоколу Asynchronous Connection-Less (ACL) между устройствами может быть зашифрована для защиты обменных данных от подслушивания. Пользователь могжет по своему желанию удалять ключи связи с из устройства, которым он владеет, что разрывает сопряжение между устройствами. Поэтому второе устройство из бывшей «пары» устройства может все еще хранить ключ связи для устройства, с которым он больше не сопряжен.

В чем суть уязвимости

Израильские исследователи установили, что во многих случаях проводится слишком простая проверка параметров эллиптической кривой, используемой для шифрования. Это упущение позволяет постороннему атакующему, находящемуся в зоне приема сигнала, осуществить подстановку некорректного открытого ключа в процессе сопряжения Bluetooth-устройств и с высокой вероятностью навязать сессионный ключ, применяемый для шифрования канала связи.

Атакующему устройству необходимо перехватить обмен открытыми ключами, заглушить каждую передачу до ее получения принимающей стороной, отправить подтверждение о приеме на отправляющее устройство и затем отправить вредоносный пакет данных на принимающее устройство в узком временном окне.

Однако, если уязвимо лишь одно из связываемых устройств, атака скорее всего потерпит неудачу. Получив ключ атакующий может перехватывать, расшифровывать и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами.

Изображение arstechnica.com ^[6]

Эксплуатация уязвимости представляется достаточно сложной, но вполне реальной, особенно в сочетании с социальной инженерией и низким уровнем квалификации потенциальных жертв. Хакер должен располагаться в достаточно небольшой зоне (несколько метров) уверенного приема Bluetooth-сигнала обоих атакуемых устройств. Тем не менее, в случае успеха, хакер получает самые широкие возможности для вредоносной активности.

Причиной возникновения уязвимости является наличие в спецификации Bluetooth лишь опциональных рекомендаций по проверке открытых ключей при сопряжении устройств в режимах Bluetooth LE Secure Connections и Bluetooth Secure Simple Pairing. В настоящее время группа Bluetooth SIG уже внесла исправления в спецификацию и привела процедуру проверки любых открытых ключей в разряд обязательных, и добавила в сертификационные тесты проверки соблюдения нового требования.

Зона поражения

Уязвимость присутствует в прошивках и драйверах от различных производителей, включая,
но не ограничиваясь такими вендорами как Apple, Broadcom, QUALCOMM и Intel. К счастью для пользователей MacOS, Apple выпустила исправление для ошибки 23 июля ^[7].

Компания Dell опубликовала новый драйвер для модулей на базе Qualcomm ^[8], который он использует, в то время как экстренное обновление от Lenovo предназначено для устройств с модулями от Intel ^[9].

LG ^[10] и Huawei ^[11] упомянули уязвимость CVE-2018-5383 в своих бюллетенях июльских обновлениях для мобильных устройств.

Пока неизвестно, затронуты ли уязвимостью Android, Google или ядро Linux глобальным образом. Об этом не упоминается в июльском бюллетене Google Android Security Bulletin ^[12] или более ранних бюллетенях.

Хотя Microsoft заявила, что система Windows не затронута напрямую, Intel опубликовала списки ^[13] многочисленных беспроводных модулей, чье программное обеспечение для Windows 7, 8.1 и 10, а также для компьютеров на базе Chrome OS и Linux уязвимо.

Предостережение

Стоит помнить, что если ваше мобильное устройство старше двух-трех лет, оно тоже может оказаться подверженным этой и другим Bluetooth-уязвимостям, но остаться без патча безопасности от производителя. Рекомендуется не держать включенным Bluetooth постоянно без реальной необходимости (а лучше не включать вообще) и спаривать устройства, только находясь в безопасном окружении.

Автор: Речицкий Александр

Источник ^[14]