Forscher der Universitäten Singapur, Oxford und des Saarbrücker Helmholtz-Zentrums für Informationssicherheit haben auf der Security-Konferenz Usenix in Santa Clara einen KNOB genannten Angriff auf Blueooth vorgestellt (Key Negotiation Of Bluetooth). Die Attacke gründet auf einer gravierenden konzeptionellen Schwachstelle in der Bluetooth-Spezifikation, die seit dem Uralt-Bluetooth 1.0 in allen Versionen des Nahfunks unverändert vorhanden ist – also seit rund 20 Jahren. Angreifer könnten sie nutzen, um etwa Eingaben von Bluetooth-Tastaturen mitzuschneiden oder um den Internet-Verkehr von zum Beispiel Laptops auszulesen, die per Bluetooth-Tethering an Smartphones angebunden sind. Dafür manipulieren sie den Kopplungsvorgang, den sie selbst nach Belieben anstoßen können. Die Schwachstelle steckt in der Firmware der Bluetooth-Radios und betrifft Bluetooth-Basic-Rate- und -Enhanced Data-Rate-Verbindungen (BR/EDR); Bluetooth Low Energy (BLE) ist demnach nicht betroffen. Für BR- und EDR-Verbindungen definiert die Bluetooth-Spezifikation eine verhandelbare Entropie der für die Bluetooth-Verschlüsselung erforderlichen Sessionkeys. Dabei authentifizieren die Bluetooth-Geräte die für die Aushandlung des Entropiewerts übertragenen Nachrichten nicht, sodass ein Man-in-the-Middle beliebige Werte ungehindert in den Pairing-Prozess einschleusen kann. Erzwungene Schlüsselvereinfachung Deshalb lässt sich laut Daniele Antonioli (Universität Singapur), Nils Ole Tippenhauer (Helmholtz-Zentrum Saarbrücken) und Kasper Rasmussen (Universität Oxford) die Entropie von Sessionkeys von maximal 16 Byte bis auf 1 Byte reduzieren. Die mit so geringem Entropiewert ausgehandelten Schlüssel lassen sich anschließend mit wenig Aufwand per Brute-Force knacken. In der Folge, so die Forscher, lassen sich die Verbindungen abhören und der Angreifer kann auch beliebigen Code in die Verbindung einschleusen. Um die Attacke auszuführen, muss der Angreifer beim Aufbau einer Verbindung zwischen zwei Geräten vor Ort sein (Pairing). Bluetooth Version 5.0 Snapdragon 845 Galaxy S9 +/1 Byte Snapdragon 835 Pixel 2, OnePlus 5 +/1 Byte Apple/USI 339S00428 MacBook Pro 2018 +/1 Byte Apple A1865 iPhone X +/1 Byte Bluetooth Version 4.2 Intel 8265 ThinkPad X1 6th +/1 Byte Intel 7265 ThinkPad X1 3rd +/1 Byte unbekannt Sennheiser PXC 550 +/1 Byte Apple/USI 339S00045 iPad Pro 2 +/1 Byte BCM43438 Raspberry Pi 3B, Raspberry Pi 3B+ +/1 Byte BCM43602 iMac MMQA2LL/A +/1 Byte Bluetooth Version 4.1 BCM4339 (CYW4339) Nexus 5, iPhone 6 +/1 Byte Snapdragon 410 Motorola G3 +/1 Byte Bluetooth Version ≤ 4.0 Snapdragon 800 LG G2 +/1 Byte Intel Centrino 6205 ThinkPad X230 +/1 Byte Chicony Unknown ThinkPad KT-1255 +/1 Byte Broadcom Unknown ThinkPad 41U5008 +/1 Byte Broadcom Unknown Anker A7721 +/1 Byte Apple W1 AirPods +/7 Byte Die Forscher haben die Schwachstelle an 18 Geräten verschiedener Hersteller untersucht. Bei allen ließ sich der Entropiewert wie beschrieben drücken. Lediglich eines der getesteten Geräte akzeptierte einen 7 Byte langen Wert und war damit nicht ganz so leicht angreifbar (siehe Tabelle). Die Forscher halten aber selbst 7 Byte lange Entropiewerte für zu kurz und empfehlen, wann immer möglich, 16 Byte zu verwenden. Die 17 übrigen getesteten Geräte ließen sich auf 1 Byte drücken. Voraussetzungen und Gegenmaßnahmen Die Bluetooth Special Interest Group (SIG), die die Spezifikationen entwickelt, hat die Bluetooth Core Specification aktualisiert und empfiehlt nun für BR- und EDR-Schlüsselaushandlungen Entropiewerte von "mindestens 7 Oktet Länge". Die SIG will Einhaltung dieser Empfehlung bei künftigen Kompatibilitätsprüfungen testen (Bluetooth Qualification Program). Außerdem appelliert die Organisation an alle Entwickler, ihre Geräte zu aktualisieren und ebenfalls mindestens 7 Oktet lange Entropiewerte für BR- und EDR-Verbindungen zu verwenden. Generell sei der Angriff nicht leicht auszuführen, weil das attackierende Gerät nicht nur den Verkehr von zwei Opfern, die sich gerade koppeln, mitlesen müsse, sondern deren Verkehr auch im passenden Moment abschirmen muss, um eigene Pakete erfolgreich in die Entropieaushandlung einschleusen zu können. Allerdings lassen sich Kopplungsanforderungen laut den Forschern nach Belieben erzwingen. KNOB Attack – Key Negotiation of Bluetooth Attack: Breaking Bluetooth Security CERT-Warnung 918987 (dz) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Forscher der Universitäten Singapur, Oxford und des Saarbrücker Helmholtz-Zentrums für Informationssicherheit haben auf der Security-Konferenz Usenix in Santa Clara einen KNOB genannten Angriff auf Blueooth vorgestellt (Key Negotiation Of Bluetooth). Die Attacke gründet auf einer gravierenden konzeptionellen Schwachstelle in der Bluetooth-Spezifikation, die seit dem Uralt-Bluetooth 1.0 in allen Versionen des Nahfunks unverändert vorhanden ist – also seit rund 20 Jahren. Angreifer könnten sie nutzen, um etwa Eingaben von Bluetooth-Tastaturen mitzuschneiden oder um den Internet-Verkehr von zum Beispiel Laptops auszulesen, die per Bluetooth-Tethering an Smartphones angebunden sind. Dafür manipulieren sie den Kopplungsvorgang, den sie selbst nach Belieben anstoßen können. Die Schwachstelle steckt in der Firmware der Bluetooth-Radios und betrifft Bluetooth-Basic-Rate- und -Enhanced Data-Rate-Verbindungen (BR/EDR); Bluetooth Low Energy (BLE) ist demnach nicht betroffen. Für BR- und EDR-Verbindungen definiert die Bluetooth-Spezifikation eine verhandelbare Entropie der für die Bluetooth-Verschlüsselung erforderlichen Sessionkeys. Dabei authentifizieren die Bluetooth-Geräte die für die Aushandlung des Entropiewerts übertragenen Nachrichten nicht, sodass ein Man-in-the-Middle beliebige Werte ungehindert in den Pairing-Prozess einschleusen kann. Erzwungene Schlüsselvereinfachung Deshalb lässt sich laut Daniele Antonioli (Universität Singapur), Nils Ole Tippenhauer (Helmholtz-Zentrum Saarbrücken) und Kasper Rasmussen (Universität Oxford) die Entropie von Sessionkeys von maximal 16 Byte bis auf 1 Byte reduzieren. Die mit so geringem Entropiewert ausgehandelten Schlüssel lassen sich anschließend mit wenig Aufwand per Brute-Force knacken. In der Folge, so die Forscher, lassen sich die Verbindungen abhören und der Angreifer kann auch beliebigen Code in die Verbindung einschleusen. Um die Attacke auszuführen, muss der Angreifer beim Aufbau einer Verbindung zwischen zwei Geräten vor Ort sein (Pairing). Bluetooth Version 5.0 Snapdragon 845 Galaxy S9 +/1 Byte Snapdragon 835 Pixel 2, OnePlus 5 +/1 Byte Apple/USI 339S00428 MacBook Pro 2018 +/1 Byte Apple A1865 iPhone X +/1 Byte Bluetooth Version 4.2 Intel 8265 ThinkPad X1 6th +/1 Byte Intel 7265 ThinkPad X1 3rd +/1 Byte unbekannt Sennheiser PXC 550 +/1 Byte Apple/USI 339S00045 iPad Pro 2 +/1 Byte BCM43438 Raspberry Pi 3B, Raspberry Pi 3B+ +/1 Byte BCM43602 iMac MMQA2LL/A +/1 Byte Bluetooth Version 4.1 BCM4339 (CYW4339) Nexus 5, iPhone 6 +/1 Byte Snapdragon 410 Motorola G3 +/1 Byte Bluetooth Version ≤ 4.0 Snapdragon 800 LG G2 +/1 Byte Intel Centrino 6205 ThinkPad X230 +/1 Byte Chicony Unknown ThinkPad KT-1255 +/1 Byte Broadcom Unknown ThinkPad 41U5008 +/1 Byte Broadcom Unknown Anker A7721 +/1 Byte Apple W1 AirPods +/7 Byte Die Forscher haben die Schwachstelle an 18 Geräten verschiedener Hersteller untersucht. Bei allen ließ sich der Entropiewert wie beschrieben drücken. Lediglich eines der getesteten Geräte akzeptierte einen 7 Byte langen Wert und war damit nicht ganz so leicht angreifbar (siehe Tabelle). Die Forscher halten aber selbst 7 Byte lange Entropiewerte für zu kurz und empfehlen, wann immer möglich, 16 Byte zu verwenden. Die 17 übrigen getesteten Geräte ließen sich auf 1 Byte drücken. Voraussetzungen und Gegenmaßnahmen Die Bluetooth Special Interest Group (SIG), die die Spezifikationen entwickelt, hat die Bluetooth Core Specification aktualisiert und empfiehlt nun für BR- und EDR-Schlüsselaushandlungen Entropiewerte von "mindestens 7 Oktet Länge". Die SIG will Einhaltung dieser Empfehlung bei künftigen Kompatibilitätsprüfungen testen (Bluetooth Qualification Program). Außerdem appelliert die Organisation an alle Entwickler, ihre Geräte zu aktualisieren und ebenfalls mindestens 7 Oktet lange Entropiewerte für BR- und EDR-Verbindungen zu verwenden. Generell sei der Angriff nicht leicht auszuführen, weil das attackierende Gerät nicht nur den Verkehr von zwei Opfern, die sich gerade koppeln, mitlesen müsse, sondern deren Verkehr auch im passenden Moment abschirmen muss, um eigene Pakete erfolgreich in die Entropieaushandlung einschleusen zu können. Allerdings lassen sich Kopplungsanforderungen laut den Forschern nach Belieben erzwingen. KNOB Attack – Key Negotiation of Bluetooth Attack: Breaking Bluetooth Security CERT-Warnung 918987 (dz) Zur Startseite