Sicherheitshinweis

Bluetooth SIG Erklärung zur Sicherheitslücke "Bluetooth Forward and Future Secrecy Attacks and Defenses (BLUFFS)".

Forscher von EURECOM haben einen Bericht an die Bluetooth SIG herausgegeben, in dem festgestellt wird, dass BR/EDR-Geräte, die Secure Connections Pairing und Secure Simple Pairing in den Bluetooth® Core Specifications 4.2 bis 5.4 unterstützen, anfällig für Man-in-the-Middle (MITM)-Angriffe zwischen Peers sein können, die sich bereits über Secure Connections gepaart oder verbunden haben.

Die Forscher fanden heraus, dass ein MITM-Angreifer, der gepaarte oder verbundene Geräte miteinander verwechselt, beide dazu veranlassen kann, ein nachfolgendes Verschlüsselungsverfahren mit Legacy-Verschlüsselung einzurichten und die Peripherie-Rolle einzunehmen, wenn sie sich nicht bereits in der Peripherie-Rolle befinden. Auf diese Weise kann der MITM-Angreifer die minimal zulässige Länge des Verschlüsselungsschlüssels erzwingen, die von beiden Geräten unterstützt wird, und den Wert aller Nonce-Werte erzwingen, die zur Verschlüsselung des Verschlüsselungsschlüssels verwendet werden. Wenn der Angriff erfolgreich ist, kann ein Angreifer, der sich in der Nähe befindet, sicherstellen, dass derselbe Verschlüsselungsschlüssel für jede Sitzung verwendet wird, während er sich in der Nähe befindet, und die niedrigste unterstützte Verschlüsselungsschlüssellänge erzwingen. Jede konforme BR/EDR-Implementierung dürfte für diesen Angriff auf die Sitzungsschlüsselerstellung anfällig sein. Die Auswirkungen können jedoch dadurch begrenzt werden, dass der Zugriff auf host aus einer herabgestuften Sitzung heraus verweigert wird oder dass eine ausreichende Schlüsselentropie sichergestellt wird, so dass die Wiederverwendung von Sitzungsschlüsseln für einen Angreifer nur von begrenztem Nutzen ist. Das BR/EDR Secure Connections Pairing wurde als nicht anfällig für diese Angriffsmethode identifiziert, da der Angriff ein Downgrade auf ein Protokoll erfordert, das keine gegenseitige Authentifizierung erfordert.

Wenn eine reduzierte Schlüssellänge ausgehandelt werden kann, ist der MITM-Angreifer möglicherweise in der Lage, den Verschlüsselungsschlüssel durch Versuch und Irrtum zu erzwingen, um die Entschlüsselung des Datenverkehrs zwischen den Geräten zu ermöglichen. Da der MITM denselben Verschlüsselungsschlüssel für alle Verschlüsselungsvorgänge erzwingen kann, während er sich in der Nähe der betroffenen Peer-Geräte befindet, sind alle vorherigen und nachfolgenden angegriffenen Sitzungen ebenfalls anfällig für eine Entschlüsselung. Die empfohlene Mindestlänge des Verschlüsselungsschlüssels für BR/EDR-verschlüsselte Sitzungen beträgt 7 Oktette. Ein Brute-Forcing eines 7-Oktett-Schlüssels dürfte während einer Sitzung nicht in Echtzeit möglich sein. Ein Angreifer, der in der Lage ist, sich gemeinsam mit angegriffenen Geräten zu positionieren, könnte jedoch genügend privaten Datenverkehr aufzeichnen, damit sich ein Angriff auf einen einzelnen Sitzungsschlüssel lohnt. Gelingt es einem Angreifer, die Länge des Verschlüsselungsschlüssels auf unter 7 Oktette zu reduzieren, so kann er den Schlüssel in Echtzeit erzwingen, so dass Live-Injection-Angriffe auf den Datenverkehr zwischen den betroffenen Teilnehmern möglich sind.

Damit dieser Angriff erfolgreich ist, muss sich ein angreifendes Gerät in Funkreichweite von zwei anfälligen Bluetooth Geräten befinden, die einen Verschlüsselungsvorgang unter Verwendung eines Verbindungsschlüssels einleiten, den sie über BR/EDR Secure Connections-Pairing-Verfahren erhalten haben.

Implementierungen wird empfohlen, Verbindungen auf Dienstebene über eine verschlüsselte Basisbandverbindung mit einer Schlüsselstärke unter 7 Oktetten abzulehnen. Bei Implementierungen, die in der Lage sind, stets den Sicherheitsmodus 4 Stufe 4 zu verwenden, sollten Implementierungen Verbindungen auf Dienstebene über eine verschlüsselte Basisbandverbindung mit einer Schlüsselstärke unter 16 Oktetten ablehnen. Wenn beide Geräte im Modus "Nur sichere Verbindungen" arbeiten, ist ebenfalls eine ausreichende Schlüsselstärke gewährleistet.

Implementierungen sollten auch nachverfolgen, dass ein Link-Schlüssel unter Verwendung von BR/EDR Secure Connections in der Bluetooth Sicherheitsdatenbank eingerichtet wurde und überprüfen, dass jede nachfolgende Verschlüsselungseinrichtung ebenfalls Secure Connections verwendet. Wenn die Verschlüsselung nicht im Modus "Sichere Verbindungen" für einen gebondeten Peer hergestellt wurde, der zuvor im Modus "Sichere Verbindungen" gebondet hat, oder wenn die ausgehandelte Verschlüsselungsschlüsselgröße zu klein ist, sollte die Verbindung abgebrochen werden.