Bluetooth SIG 脆弱性「Bluetooth Forward and Future Secrecy Attacks and Defenses (BLUFFS)」に関する声明
EURECOM の研究者は、Bluetooth®Core Specifications 4.2 から 5.4 の Secure Connections ペアリングおよび Secure Simple Pairing をサポートする BR/EDR 機器が、Secure Connections を使用してペアリングまたはボンディング済みのピア間で Man in The Middle (MITM) 攻撃を受ける可能性があることを指摘するレポートをBluetooth SIG に発表しました。
研究者らは、ペアリングまたはボンディングされたデバイスを互いに偽装するMITM攻撃者が、ペリフェラルの役割にまだ入っていない場合、レガシー暗号化を使用して後続の暗号化手順を確立し、ペリフェラルの役割に入るよう両者に促す可能性があることを確認した。これによりMITM攻撃者は、両方のデバイスがサポートする最小の暗号化キー長を強制し、暗号化キーの生成に使用されるすべてのnonce値を強制することができる。攻撃が成功した場合、近接した攻撃者は、近接している間、同じ暗号化キーが すべてのセッションで使用されることを保証し、サポートされている最低の 暗号化キー長を強制することができる。適合するBR/EDR実装は、セッション鍵の確立に関するこの攻撃に対して 脆弱であると予想されるが、ダウングレードされたセッションからの ホストリソースへのアクセスを拒否したり、セッション鍵の再利用が攻撃者にとって 限定的な有用性となるように十分な鍵エントロピーを確保したりすることで、 影響は限定されるかもしれない。BR/EDRセキュアコネクションのペアリングは、相互認証を必要としないプロトコルにダウングレードする必要があるため、この攻撃方法に対して脆弱ではないことが確認された。
暗号化キーの長さを短くしてネゴシエートできる場合、MITM攻撃者は試行錯誤によって暗号化キーをブルートフォースして、デバイス間のトラフィックの復号化を許可できる可能性がある。その暗号化キーがブルートフォースできる場合、影響を受けるピアデバイスに近接している間、MITMはすべての暗号化確立で同じ暗号化キーを強制できるため、それ以前とそれ以降の攻撃されたセッションもすべて復号化される脆弱性がある。BR/EDR暗号化セッションで推奨される最小暗号化キー長は7オクテットである。7オクテットの鍵をブルートフォースすることは、セッション中にリアルタイムで可能であるとは予想されない。しかし、攻撃されたデバイスと同じ場所にいることができる攻撃者は、1つのセッション鍵に対する攻撃を価値あるものにするのに十分なプライベートトラフィックを記録できるかもしれない。もし攻撃者が暗号鍵の長さを7オクテット以下にすることに成功すれば、 攻撃者はリアルタイムで暗号鍵のブルートフォース(総当たり)を実行することができ、 攻撃を受けたピア間のトラフィックに対するライブインジェクション攻撃が 可能になるかもしれない。
この攻撃を成功させるには、攻撃デバイスが、BR/EDRセキュアコネクションのペアリング手順を使用して取得したリンクキーを使用して暗号化手順を開始する2つの脆弱なBluetooth デバイスのワイヤレス範囲内にある必要がある。
実装は、7オクテットを下回る鍵強度の暗号化ベースバンドリンク上のサービ スレベル接続を拒否することが推奨される。セキュリティモード4レベル4を常に使用できる実装では、実装は16オクテットを下回る鍵強度の暗号化ベースバンドリンク上のサービスレベル接続を拒否すべきである。両方のデバイスがSecure Connections Only Modeで動作することも、十分な鍵強度を保証する。
実装はまた、Bluetooth セキュリティデータベースで、リンクキーがBR/EDRセキュアコネクションを使用して確立されたことを追跡し、その後の暗号化確立もセキュアコネクションを使用することを検証すべきである。以前にセキュアコネクションモードを使用してボンディングされたピアに対して、セキュアコネクションモードで暗号化が確立されなかった場合、またはネゴシエートされた暗号化キーサイズが小さすぎる場合、リンクは終了すべきである。