Lỗ hổng Bluetooth mới cho phép hacker theo dõi các kết nối được mã hoá

Lỗ hổng Bluetooth mới cho phép hacker theo dõi các kết nối được mã hoá

August 16, 2019 | vietsunshine

Hơn một tỷ thiết bị hỗ trợ Bluetooth, bao gồm điện thoại thông minh, máy tính xách tay, thiết bị IoT thông minh và thiết bị công nghiệp, đã bị phát hiện dễ bị tổn thương nghiêm trọng có thể cho phép kẻ tấn công theo dõi dữ liệu truyền giữa hai thiết bị.

Lỗ hổng, được gán là CVE-2019-9506, nằm trong cách ‘giao thức đàm phán khóa mã hóa’ (encryption key negotiation protocol) cho phép hai thiết bị Bluetooth BR/EDR chọn giá trị entropy cho các khóa mã hóa trong khi ghép nối để bảo mật kết nối của chúng.

Được gọi là cuộc tấn công Key Negotiation of Bluetooth (KNOB) lỗ hổng này có thể cho phép kẻ tấn công từ xa ở gần các thiết bị được nhắm mục tiêu để chặn, giám sát hoặc điều khiển lưu lượng Bluetooth được mã hóa giữa hai thiết bị được ghép nối.

Bluetooth BR/EDR (Tốc độ cơ bản / Tốc độ dữ liệu nâng cao, còn được gọi là “Bluetooth Classic”) là một tiêu chuẩn công nghệ không dây thường được thiết kế cho kết nối không dây tương đối ngắn, liên tục như truyền âm thanh đến tai nghe hoặc loa di động.

Từ quan điểm bảo mật, thông số kỹ thuật cốt lõi của giao thức Bluetooth BR/EDR hỗ trợ các khóa mã hóa với entropy trong khoảng từ 1 đến 16 byte/octet, trong đó giá trị cao hơn có nghĩa là bảo mật hơn.

Tuy nhiên, các nhà nghiên cứu nhận thấy rằng việc đàm phán entropy, thiết bị thực hiện qua Giao thức quản lý liên kết (Link Manager Protocol – LMP), không được mã hóa cũng như xác thực và có thể bị tấn công hoặc thao túng.

Lỗ hổng Bluetooth BR/EDR Key Negotiation  hoạt động như thế nào?

Lỗ hổng Bluetooth mới được phát hiện có thể cho phép kẻ tấn công từ xa lừa hai thiết bị được nhắm mục tiêu đồng ý với khóa mã hóa chỉ với 1 byte (8 bit) entropy, cuối cùng giúp dễ dàng bắt bẻ các khóa mã hóa được đàm phán.

“Ví dụ, giả sử rằng có hai bộ điều khiển đang cố thiết lập kết nối: Alice và Bob. Sau khi xác thực khóa liên kết, Alice đề xuất rằng cô và Bob sử dụng 16 byte entropy. Số này, N, có thể từ 1 đến 16 byte. Bob có thể chấp nhận điều này, từ chối điều này và hủy bỏ cuộc đàm phán hoặc đề xuất một giá trị nhỏ hơn. Bob có thể muốn đề xuất một giá trị N nhỏ hơn vì anh ta (bộ điều khiển) không hỗ trợ số lượng byte lớn hơn do Alice đề xuất. Sau khi đề xuất số nhỏ hơn, Alice có thể chấp nhận và yêu cầu kích hoạt mã hóa lớp liên kết với Bob, mà Bob có thể chấp nhận,” giải thích trong một tư vấn được xuất bản bởi trung tâm điều phối CERT.

Tuy nhiên, bằng cách khai thác lỗ hổng được báo cáo “kẻ tấn công, Charlie, có thể buộc Alice và Bob sử dụng N nhỏ hơn bằng cách chặn yêu cầu đề xuất của Alice với Bob và thay đổi N.”

Sau khi được giải mã, kẻ tấn công có thể nắm bắt một cách thụ động các tin nhắn được mã hóa được truyền qua lưu lượng Bluetooth, giải mã bản mã và inject mật mã hợp lệ, tất cả đều ở thời gian thực và lén lút.

Bên cạnh đó, cũng cần lưu ý rằng, để một cuộc tấn công thành công:

  • cả hai thiết bị Bluetooth phải được thiết lập kết nối BR/EDR,
  • cả hai thiết bị Bluetooth phải có lỗ hổng này,
  • kẻ tấn công sẽ có thể chặn truyền trực tiếp giữa các thiết bị trong khi ghép nối và
  • cuộc tấn công phải được thực hiện trong quá trình đàm phán hoặc đàm phán lại kết nối thiết bị được ghép nối; phiên hiện tại không thể bị tấn công.

Ngoài ra, lời khuyên chính thức do Bluetooth.com đưa ra cũng cho biết: “Vì không phải tất cả các thông số kỹ thuật Bluetooth đều yêu cầu độ dài khóa mã hóa tối thiểu, nên một số nhà cung cấp có thể đã phát triển các sản phẩm Bluetooth trong đó độ dài của khóa mã hóa được sử dụng trên BR/EDR kết nối có thể được thiết lập bởi một thiết bị tấn công xuống một octet.”

Các hãng/phần mềm/hệ điều hành bị ảnh hưởng và bản vá cập nhật

Lỗ hổng này được phát hiện bởi một nhóm các nhà nghiên cứu bao gồm Daniele Antonioli từ SUTD, Tiến sĩ Nils Ole Tippenhauer từ CISPA và Giáo sư Kasper Rasmussen từ Đại học Oxford.

“Chúng tôi đánh giá cuộc tấn công KNOB trên hơn 14 chip Bluetooth từ các nhà cung cấp khác nhau như Intel, Broadcom, Apple và Qualcomm. Tất cả các chip chấp nhận 1 byte entropy ngoại trừ chip Apple W1 chấp nhận (ít nhất) 7 byte entropy, “Các nhà nghiên cứu cho biết trong một bài báo chi tiết [PDF] phát hành ngày hôm qua.

Để giảm thiểu tấn công KNOB, các nhà bảo trì thông số kỹ thuật Bluetooth đã khuyến nghị mạnh mẽ các nhà sản xuất thiết bị và nhà cung cấp phần mềm thực thi độ dài khóa mã hóa tối thiểu 7 octet cho các kết nối BR/EDR.

Để khắc phục lỗ hổng này, các nhà cung cấp bị ảnh hưởng khác nhau đã bắt đầu phát hành bản cập nhật bảo mật cho hệ điều hành, firmware và phần mềm của họ, bao gồm:

Nguồn: New Bluetooth Vulnerability Lets Attackers Spy On Encrypted Connections

Xem thêm: Hai lỗi mới của chip Bluetooth khiến hàng triệu thiết bị có thể bị tấn công từ xa

Tags: , ,