Bluetooth SIG 에 관한 진술Bluetooth BLUFFS(Forward and Future Secrecy Attacks and Defenses)" 취약점
EURECOM의 연구원들은 Bluetooth SIG 보안 연결 페어링 및 보안 단순 페어링을 지원하는 BR/EDR 장치를 식별합니다. Bluetooth® 핵심 사양 4.2 - 5.4는 보안 연결을 사용하여 이미 페어링 또는 결합된 피어 간의 MITM(Man in The Middle) 공격에 취약할 수 있습니다.
연구진은 MITM 공격자가 페어링 또는 결합된 장치를 서로 스푸핑하면 두 장치 모두 레거시 암호화를 사용하여 후속 암호화 절차를 설정하고 아직 주변 장치 역할이 아닌 경우 주변 장치 역할로 진입하도록 유도할 수 있음을 확인했습니다. 이렇게 하면 MITM 공격자는 두 장치에서 지원되는 최소 허용 암호화 키 길이를 강제하고 암호화 키 생성에 사용되는 모든 논스 값의 값을 강제할 수 있습니다. 공격이 성공하면 근접한 공격자는 근접한 동안 모든 세션에 동일한 암호화 키가 사용되도록 하고 지원되는 최소 암호화 키 길이를 강제로 적용할 수 있습니다. 모든 호환 BR/EDR 구현은 세션 키 설정에 대한 이러한 공격에 취약할 것으로 예상되지만, 다운그레이드된 세션에서 호스트 리소스에 대한 액세스를 거부하거나 공격자에게 세션 키 재사용이 제한되도록 충분한 키 엔트로피를 보장함으로써 그 영향이 제한될 수 있습니다. BR/EDR 보안 연결 페어링은 상호 인증이 필요하지 않은 프로토콜로 다운그레이드해야 공격이 이루어지기 때문에 이 공격 방법에 취약하지 않은 것으로 확인되었습니다.
감소된 암호화 키 길이를 협상할 수 있는 경우 MITM 공격자는 시행착오를 통해 암호화 키를 무차별 대입하여 디바이스 간 트래픽의 암호 해독을 허용할 수 있습니다. 영향을 받는 피어 디바이스에 근접해 있는 동안 모든 암호화 설정에 대해 MITM이 동일한 암호화 키를 강제 적용할 수 있으므로, 해당 암호화 키가 무차별 암호 대입될 수 있는 경우 이전 및 이후의 모든 공격 세션도 암호 해독에 취약합니다. BR/EDR 암호화 세션에 권장되는 최소 암호화 키 길이는 7옥텟입니다. 7-옥텟 키의 무차별 암호 대입은 세션 중에 실시간으로 가능하지 않을 것으로 예상되지만, 공격받은 디바이스와 함께 배치할 수 있는 공격자는 단일 세션 키에 대한 공격을 가치 있게 만들기에 충분한 프라이빗 트래픽을 기록할 수 있습니다. 공격자가 암호화 키 길이를 7옥텟 미만으로 줄일 수 있는 경우 공격자는 실시간으로 암호화 키의 무차별 암호 대입을 완료하여 영향을 받는 피어 간의 트래픽에 대한 실시간 주입 공격을 허용할 수 있습니다.
이 공격이 성공하려면 공격 장치가 취약한 두 개의 무선 범위 내에 있어야 합니다 Bluetooth BR/EDR 보안 연결 페어링 절차를 사용하여 얻은 링크 키를 사용하여 암호화 절차를 시작하는 디바이스입니다.
구현은 주요 강도가 7옥텟 미만인 암호화된 기저대역 링크에서 서비스 수준 연결을 거부하는 것이 좋습니다. 항상 보안 모드 4 수준 4를 사용할 수 있는 구현의 경우 구현은 키 강도가 16옥텟 미만인 암호화된 기저대역 링크에서 서비스 수준 연결을 거부해야 합니다. 두 장치 모두 보안 연결 전용 모드에서 작동하면 충분한 키 강도도 보장됩니다.
또한 구현은 Bluetooth 보안 데이터베이스에서 BR/EDR 보안 연결을 사용하여 링크 키가 설정되었는지 추적하고 이후의 모든 암호화 설정도 보안 연결을 사용하는지 확인해야 합니다. 이전에 보안 연결 모드를 사용하여 본딩한 본딩된 피어에 대해 보안 연결 모드에서 암호화가 설정되지 않았거나 협상된 암호화 키 크기가 너무 작은 경우, 링크를 종료해야 합니다.