O novo ataque que explora a fraqueza grave do Bluetooth pode interceptar dados confidenciais

45

O novo ataque que explora a fraqueza grave do Bluetooth pode interceptar dados confidenciais

Pesquisadores demonstraram uma séria fraqueza no padrão sem fio Bluetooth que poderia permitir que hackers interceptassem as teclas digitadas, catálogos de endereços e outros dados sensíveis enviados de bilhões de dispositivos.

Apelidado Key Negotiation of Bluetooth – ou KNOB abreviado – o ataque força dois ou mais dispositivos a escolher uma chave de criptografia com um único byte antes de estabelecer uma conexão Bluetooth. Os atacantes dentro da faixa de rádio podem usar hardware de commodity para quebrar a chave rapidamente. A partir daí, os invasores podem usar a chave quebrada para descriptografar dados passando entre os dispositivos. Os tipos de dados suscetíveis podem incluir pressionamentos de tecla entre um teclado e computador sem fio, catálogos de endereços enviados de um telefone para um painel de controle de carro ou fotografias trocadas entre telefones.

O KNOB não exige que um invasor tenha qualquer material secreto anteriormente compartilhado ou observe o processo de pareamento dos dispositivos de destino. A exploração é invisível para os aplicativos Bluetooth e os sistemas operacionais em que eles são executados, tornando o ataque quase impossível de detectar sem equipamento altamente especializado. KNOB também explora uma fraqueza no próprio padrão Bluetooth. Isso significa, com toda probabilidade, que a vulnerabilidade afeta praticamente todos os dispositivos compatíveis com a especificação. Os pesquisadores simularam o ataque a 14 chips Bluetooth diferentes – incluindo os da Broadcom, da Apple e da Qualcomm – e descobriram que todos eles são vulneráveis.

"O ataque Key Negotiation Of Bluetooth (KNOB) explora uma vulnerabilidade no nível arquitetural do Bluetooth", escreveram os pesquisadores em um trabalho de pesquisa publicado esta semana. "O protocolo de negociação de chave de criptografia vulnerável põe em perigo potencialmente todos os dispositivos compatíveis com o padrão Bluetooth, independentemente de seu número de versão do Bluetooth e detalhes de implementação. Acreditamos que o protocolo de negociação de chave de criptografia deve ser corrigido assim que possível."

Enquanto as pessoas esperam pelo Grupo de Interesse Especial Bluetooth – o órgão que supervisiona o padrão sem fio – para fornecer uma correção, um punhado de empresas lançou atualizações de software que corrigem ou mitigam a vulnerabilidade, que é rastreada como CVE-2019-9506. As correções incluem:

O CERT dos EUA emitiu este comunicado. O grupo de interesse especial de Bluetooth, entretanto, publicou um aviso de segurança Aqui.

Fraquezas gritantes

O ataque tem como alvo as fraquezas gritantes no processo de configuração da chave que ocorre logo antes de dois dispositivos se conectarem. A especificação Bluetooth permite que as chaves tenham comprimentos de até 16 bytes ou apenas 1 byte. O limite inferior, segundo os pesquisadores, foi posto em prática em parte para cumprir os "regulamentos internacionais de criptografia".

O resultado: todos os dispositivos compatíveis com Bluetooth precisam negociar o tamanho da chave que usarão para criptografar a conexão. Um dispositivo mestre pode começar propondo uma chave de 16 bytes, e o dispositivo escravo pode responder que só é capaz de usar uma chave de 1 byte. Com isso, a chave será rebaixada para um tamanho trivial para o crack usando técnicas de força bruta, que tentam adivinhar todas as combinações possíveis até encontrar a correta.

Como se isso não bastasse, essa negociação de comprimento de chave, que ocorre em algo conhecido como Link Manager Protocol, não é criptografada nem autenticada. A negociação também é completamente opaca para aplicativos e sistemas operacionais. Como resultado, a chave que criptografa os toques de tecla e outros dados confidenciais pode ser protegida por uma chave de 1 byte trivialmente fiável, sem uma maneira fácil de o usuário sequer saber.

Os pesquisadores – Daniele Antonioli, da Universidade de Tecnologia e Design de Cingapura, Nils Ole Tippenhauer, do Centro de Segurança da Informação da CISPA Helmholtz, e Kasper B. Rasmussen, da Universidade de Oxford – elaboraram duas variações de ataque para explorar essas fraquezas. A primeira é uma técnica remota em que o invasor usa um dispositivo Bluetooth personalizado para executar um ataque man-in-the-middle ativo em dois dispositivos de conexão (os pesquisadores chamam esses dispositivos de Alice e Bob). O objetivo do ataque MitM: fazer com que os dispositivos concordem com uma tecla de 1 byte anotada como K'C.

Os pesquisadores escreveram:

O host Bluetooth de Alice solicita para ativar (definir) a criptografia. O controlador Bluetooth de Alice aceita as solicitações locais e inicia o procedimento de negociação de chave de criptografia com o controlador Bluetooth de Bob pelo ar. O invasor intercepta a entropia de chaves proposta de Alice e substitui 16 por 1. Essa substituição simples funciona porque o LMP não é criptografado nem protegido por integridade. O controlador de Bob aceita 1 byte. O invasor intercepta a mensagem de aceitação de Bob e a altera para uma proposta de entropia de 1 byte. Alice acha que Bob não suporta 16 bytes de entropia e aceita 1 byte. O invasor intercepta a mensagem de aceitação de Alice e a solta. Finalmente, os controladores de Alice e Bob calculam o mesmo K'C com um byte de entropia e notificar seus respectivos hosts de que a criptografia da camada de enlace está ativada.

Abaixo está um diagrama correspondente, onde o atacante é chamado Charlie:

Antonioli et al.

A outra variação de ataque modifica maliciosamente alguns bytes no firmware de um dos dispositivos. A modificação faz com que o dispositivo negocie um tamanho de chave máximo de 1 byte. Em essência, o outro dispositivo não tem escolha senão aceitar.

Uma questão de esforço de engenharia

Os pesquisadores não realizaram o ataque man-in-the-middle no ar. No entanto, eles criaram um dispositivo Nexus 5 para executar um ataque de firmware. Com base na resposta do outro dispositivo – um Motorola G3 – os pesquisadores disseram acreditar que ambos os ataques funcionariam.

"Essa configuração de ataque é muito mais confiável do que um ataque pelo ar", escreveu o pesquisador Daniele Antonioli em um e-mail, referindo-se à variação do firmware. "Ele nos permite testar rapidamente se um novo dispositivo é vulnerável, e foi suficiente demonstrar aos analistas que o ataque KNOB é uma ameaça real e de alto impacto. Implementar o mesmo ataque no ar é apenas uma questão de esforço de engenharia "

O KNOB recebeu muita atenção desde que foi divulgado no início desta semana. Muitas pessoas pegaram as mídias sociais para declarar que o Bluetooth foi quebrado por esse novo ataque. Teoricamente, provavelmente tem, e isso significa que, dependendo do Bluetooth de consumo para proteger dados vitalmente sensíveis, provavelmente não é uma boa ideia.

Lesley Carhart, principal caçadora de ameaças da firma de segurança Dragos, colocou dessa forma em um e-mail:

A segurança implementada dos dispositivos Bluetooth do consumidor sempre duvidosa na melhor das hipóteses. No entanto, a decisão de usar dispositivos Bluetooth deve depender do gerenciamento de riscos pessoais e das ameaças que enfrentamos individualmente. Por exemplo, pode ser muito mais prático para um adversário instalar um keylogger em um computador remoto do que lançar um ataque sem fio em proximidade física. Para a maioria das pessoas, aceitar que a segurança do Bluetooth é apenas um impedimento será um risco aceitável. Para pessoas que fazem trabalho sensível em áreas populosas, os teclados Bluetooth podem ser imprudentes em geral.

Também é importante notar os obstáculos – ou seja, o custo do equipamento e um MitM de precisão cirúrgica – que impediram os pesquisadores de realmente realizar seu ataque pelo ar em seu próprio laboratório. Se a técnica pelo ar tivesse sido fácil, eles quase certamente teriam feito isso.

Dan Guido, um especialista em segurança móvel e CEO da empresa de segurança Trail of Bits, disse: "Este é um bug ruim, embora seja difícil de explorar na prática. Requer proximidade local, timing perfeito e um sinal claro. Você precisa para MitM totalmente ambos os peers para alterar o tamanho da chave e explorar este bug.Eu vou aplicar os patches disponíveis e continuar usando o meu teclado bluetooth ".

Isso ainda deixa a variação do firmware do ataque, mas isso também vem com seus próprios desafios. Em uma configuração do mundo real, seria necessário adulterar a cadeia de fornecimento ou obter acesso físico a um dispositivo de destino, fazer alterações no firmware e, depois, remover todos os sinais de adulteração.

Além disso, o aviso de segurança do Bluetooth Special Interest Group disse:

Para um ataque ser bem-sucedido, um dispositivo invasor precisaria estar dentro do alcance sem fio de dois dispositivos Bluetooth vulneráveis ​​que estavam estabelecendo uma conexão BR / EDR. Se um dos dispositivos não tiver a vulnerabilidade, o ataque não será bem-sucedido. O dispositivo atacante precisaria interceptar, manipular e retransmitir mensagens de negociação de comprimento de chave entre os dois dispositivos, ao mesmo tempo bloqueando as transmissões de ambos, tudo dentro de uma janela de tempo estreita. Se o dispositivo atacante obtiver êxito no encurtamento do comprimento de chave de criptografia usado, ele precisará executar um ataque de força bruta para violar a chave de criptografia. Além disso, o dispositivo invasor precisaria repetir o ataque sempre que a criptografia fosse ativada, já que a negociação do tamanho da chave de criptografia ocorre a cada vez.

O resultado de tudo isso é que há razões para pensar que o Bluetooth é ainda mais inseguro do que se acreditava anteriormente, mas que o KNOB não é o tipo de ataque que provavelmente veremos a qualquer momento em breve em um Starbucks. Isso não quer dizer que ataques in-the-wild nunca irão ocorrer. Por enquanto, as pessoas devem aplicar patches quando disponíveis e não se preocupar muito em usar o Bluetooth para coisas casuais, como streaming de áudio. Ao mesmo tempo, pode não ser uma má idéia começar a pensar em se afastar do Bluetooth ao transmitir dados realmente confidenciais.

Fonte: Ars Technica