KNOB-Attack: Schwerer Konzeptfehler in Bluetooth
Laut einem Forscher-Trio lässt sich die Verschlüsselung von vermutlich allen Bluetooth-Geräten knacken, darunter auch von Tastaturen und Smartphones.
(Bild: Teerawut Bunsom/Shutterstock.com)
Forscher der Universitäten Singapur, Oxford und des Helmholtz-Zentrums für Informationssicherheit in Saarbrücken (CISPA) haben auf der Security-Konferenz Usenix in Santa Clara einen KNOB genannten Angriff auf Blueooth vorgestellt (Key Negotiation Of Bluetooth). Die Attacke gründet auf einer gravierenden konzeptionellen Schwachstelle in der Bluetooth-Spezifikation, die seit dem Uralt-Bluetooth 1.0 in allen Versionen des Nahfunks unverändert vorhanden ist – also seit rund 20 Jahren. Angreifer könnten sie nutzen, um etwa Eingaben von Bluetooth-Tastaturen mitzuschneiden oder um den Internet-Verkehr von zum Beispiel Laptops auszulesen, die per Bluetooth-Tethering an Smartphones angebunden sind.
Die Schwachstelle steckt in der Firmware der Bluetooth-Radios und betrifft Bluetooth-Basic-Rate- und -Enhanced Data-Rate-Verbindungen (BR/EDR); Bluetooth Low Energy (BLE) ist demnach nicht betroffen. Für BR- und EDR-Verbindungen definiert die Bluetooth-Spezifikation eine verhandelbare Entropie der für die Bluetooth-Verschlüsselung erforderlichen Sessionkeys. Dabei authentifizieren die Bluetooth-Geräte die für die Aushandlung des Entropiewerts übertragenen Nachrichten nicht, sodass ein Man-in-the-Middle beliebige Werte ungehindert in die Entropieaushandlung einschleusen kann.
Erzwungene SchlĂĽsselvereinfachung
Deshalb lässt sich laut Daniele Antonioli (Singapore University of Technology and Design), Nils Ole Tippenhauer (CISPA Helmholtz-Zentrum für Informationssicherheit, Saarbrücken) und Kasper Rasmussen (Universität Oxford) die Entropie von Sessionkeys von maximal 16 Byte bis auf 1 Byte reduzieren. Die mit so geringem Entropiewert ausgehandelten Schlüssel lassen sich anschließend mit wenig Aufwand per Brute-Force knacken. In der Folge, so die Forscher, lassen sich die Verbindungen abhören und der Angreifer kann auch beliebigen Code in die Verbindung einschleusen. Um die Attacke auszuführen, muss der Angreifer beim Aufbau einer Verbindung zwischen zwei Geräten vor Ort sein.
| Bluetooth-Chip | Gerät | verwundbar/kürzester Entropiewert |
| Bluetooth Version 5.0 | ||
| Snapdragon 845 | Galaxy S9 | +/1 Byte |
| Snapdragon 835 | Pixel 2, OnePlus 5 | +/1 Byte |
| Apple/USI 339S00428 | MacBook Pro 2018 | +/1 Byte |
| Apple A1865 | iPhone X | +/1 Byte |
| Bluetooth Version 4.2 | ||
| Intel 8265 | ThinkPad X1 6th | +/1 Byte |
| Intel 7265 | ThinkPad X1 3rd | +/1 Byte |
| unbekannt | Sennheiser PXC 550 | +/1 Byte |
| Apple/USI 339S00045 | iPad Pro 2 | +/1 Byte |
| BCM43438 | Raspberry Pi 3B, Raspberry Pi 3B+ | +/1 Byte |
| BCM43602 | iMac MMQA2LL/A | +/1 Byte |
| Bluetooth Version 4.1 | ||
| BCM4339 (CYW4339) | Nexus 5, iPhone 6 | +/1 Byte |
| Snapdragon 410 | Motorola G3 | +/1 Byte |
| Bluetooth Version ≤ 4.0 | ||
| Snapdragon 800 | LG G2 | +/1 Byte |
| Intel Centrino 6205 | ThinkPad X230 | +/1 Byte |
| Chicony Unknown | ThinkPad KT-1255 | +/1 Byte |
| Broadcom Unknown | ThinkPad 41U5008 | +/1 Byte |
| Broadcom Unknown | Anker A7721 | +/1 Byte |
| Apple W1 | AirPods | +/7 Byte |
Die Forscher haben die Schwachstelle an 18 Geräten verschiedener Hersteller untersucht. Bei allen ließ sich der Entropiewert wie beschrieben drücken. Lediglich eines der getesteten Geräte akzeptierte einen 7 Byte langen Wert und war damit nicht ganz so leicht angreifbar (siehe Tabelle). Die Forscher halten aber selbst 7 Byte lange Entropiewerte für zu kurz und empfehlen, wann immer möglich, 16 Byte zu verwenden. Die 17 übrigen getesteten Geräte ließen sich auf 1 Byte drücken.
Voraussetzungen und GegenmaĂźnahmen
Die Bluetooth Special Interest Group (SIG), die die Spezifikationen entwickelt, hat die Bluetooth Core Specification aktualisiert und empfiehlt nun für BR- und EDR-Schlüsselaushandlungen Entropiewerte von "mindestens 7 Oktet Länge". Die SIG will Einhaltung dieser Empfehlung bei künftigen Kompatibilitätsprüfungen testen (Bluetooth Qualification Program).
Außerdem appelliert die Organisation an alle Entwickler, ihre Geräte zu aktualisieren und ebenfalls mindestens 7 Oktet lange Entropiewerte für BR- und EDR-Verbindungen zu verwenden. Generell sei der Angriff nicht leicht auszuführen, weil das attackierende Gerät nicht nur den Verkehr von zwei Opfern mitlesen müsse, sondern deren Verkehr auch im passenden Moment abschirmen muss, um eigene Pakete erfolgreich in die Entropieaushandlung einschleusen zu können.
[Update]: 20.08.2019, 13:55
gestrichen: Pairing als Voraussetzung fĂĽr die Attacke
Nils Ole Tippenhauer ergänzt auf Nachfrage: Ein erneutes Pairing ist nicht erforderlich und das erste Pairing muss nicht in Anwesenheit des Angreifers ablaufen. Das Pairing resultiert in einem Long Term Key zwischen dem Master und Slave.
Beim Angriff geht es aber um Session Keys, die aus dem Long Term Key abgeleitet werden, wenn die Kommunikation zwischen Master und Slave nach einer Unterbrechung fortgesetzt wird (z. B. Rechner wird wieder hochgefahren, Kopfhörer angeschaltet, Tastatur angebunden, etc.). Das Ableiten der Session Keys aus dem Long Term Key lässt sich so manipulieren, dass es nur 256 verschiedene Session Keys geben kann. Dadurch kann der Angreifer auch ohne Kenntnis des Long Term Keys den aktuellen Session Key leicht durch Brute Force herausfinden.
KNOB Attack – Key Negotiation of Bluetooth Attack: Breaking Bluetooth Security
(dz)
