Menü

KNOB-Attack: Schwerer Konzeptfehler in Bluetooth

Laut einem Forscher-Trio lässt sich die Verschlüsselung von vermutlich allen Bluetooth-Geräten knacken, darunter auch von Tastaturen und Smartphones.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 263 Beiträge

(Bild: Teerawut Bunsom/Shutterstock.com)

Update
Von

Forscher der Universitäten Singapur, Oxford und des Helmholtz-Zentrums für Informationssicherheit in Saarbrücken (CISPA) haben auf der Security-Konferenz Usenix in Santa Clara einen KNOB genannten Angriff auf Blueooth vorgestellt (Key Negotiation Of Bluetooth). Die Attacke gründet auf einer gravierenden konzeptionellen Schwachstelle in der Bluetooth-Spezifikation, die seit dem Uralt-Bluetooth 1.0 in allen Versionen des Nahfunks unverändert vorhanden ist – also seit rund 20 Jahren. Angreifer könnten sie nutzen, um etwa Eingaben von Bluetooth-Tastaturen mitzuschneiden oder um den Internet-Verkehr von zum Beispiel Laptops auszulesen, die per Bluetooth-Tethering an Smartphones angebunden sind.

Die Schwachstelle steckt in der Firmware der Bluetooth-Radios und betrifft Bluetooth-Basic-Rate- und -Enhanced Data-Rate-Verbindungen (BR/EDR); Bluetooth Low Energy (BLE) ist demnach nicht betroffen. Für BR- und EDR-Verbindungen definiert die Bluetooth-Spezifikation eine verhandelbare Entropie der für die Bluetooth-Verschlüsselung erforderlichen Sessionkeys. Dabei authentifizieren die Bluetooth-Geräte die für die Aushandlung des Entropiewerts übertragenen Nachrichten nicht, sodass ein Man-in-the-Middle beliebige Werte ungehindert in die Entropieaushandlung einschleusen kann.

Deshalb lässt sich laut Daniele Antonioli (Singapore University of Technology and Design), Nils Ole Tippenhauer (CISPA Helmholtz-Zentrum für Informationssicherheit, Saarbrücken) und Kasper Rasmussen (Universität Oxford) die Entropie von Sessionkeys von maximal 16 Byte bis auf 1 Byte reduzieren. Die mit so geringem Entropiewert ausgehandelten Schlüssel lassen sich anschließend mit wenig Aufwand per Brute-Force knacken. In der Folge, so die Forscher, lassen sich die Verbindungen abhören und der Angreifer kann auch beliebigen Code in die Verbindung einschleusen. Um die Attacke auszuführen, muss der Angreifer beim Aufbau einer Verbindung zwischen zwei Geräten vor Ort sein.

Bluetooth-Chip Gerät verwundbar/kürzester Entropiewert
Bluetooth Version 5.0
Snapdragon 845 Galaxy S9 +/1 Byte
Snapdragon 835 Pixel 2, OnePlus 5 +/1 Byte
Apple/USI 339S00428 MacBook Pro 2018 +/1 Byte
Apple A1865 iPhone X +/1 Byte
Bluetooth Version 4.2
Intel 8265 ThinkPad X1 6th +/1 Byte
Intel 7265 ThinkPad X1 3rd +/1 Byte
unbekannt Sennheiser PXC 550 +/1 Byte
Apple/USI 339S00045 iPad Pro 2 +/1 Byte
BCM43438 Raspberry Pi 3B, Raspberry Pi 3B+ +/1 Byte
BCM43602 iMac MMQA2LL/A +/1 Byte
Bluetooth Version 4.1
BCM4339 (CYW4339) Nexus 5, iPhone 6 +/1 Byte
Snapdragon 410 Motorola G3 +/1 Byte
Bluetooth Version ≤ 4.0
Snapdragon 800 LG G2 +/1 Byte
Intel Centrino 6205 ThinkPad X230 +/1 Byte
Chicony Unknown ThinkPad KT-1255 +/1 Byte
Broadcom Unknown ThinkPad 41U5008 +/1 Byte
Broadcom Unknown Anker A7721 +/1 Byte
Apple W1 AirPods +/7 Byte

Die Forscher haben die Schwachstelle an 18 Geräten verschiedener Hersteller untersucht. Bei allen ließ sich der Entropiewert wie beschrieben drücken. Lediglich eines der getesteten Geräte akzeptierte einen 7 Byte langen Wert und war damit nicht ganz so leicht angreifbar (siehe Tabelle). Die Forscher halten aber selbst 7 Byte lange Entropiewerte für zu kurz und empfehlen, wann immer möglich, 16 Byte zu verwenden. Die 17 übrigen getesteten Geräte ließen sich auf 1 Byte drücken.

Die Bluetooth Special Interest Group (SIG), die die Spezifikationen entwickelt, hat die Bluetooth Core Specification aktualisiert und empfiehlt nun für BR- und EDR-Schlüsselaushandlungen Entropiewerte von "mindestens 7 Oktet Länge". Die SIG will Einhaltung dieser Empfehlung bei künftigen Kompatibilitätsprüfungen testen (Bluetooth Qualification Program).

Außerdem appelliert die Organisation an alle Entwickler, ihre Geräte zu aktualisieren und ebenfalls mindestens 7 Oktet lange Entropiewerte für BR- und EDR-Verbindungen zu verwenden. Generell sei der Angriff nicht leicht auszuführen, weil das attackierende Gerät nicht nur den Verkehr von zwei Opfern mitlesen müsse, sondern deren Verkehr auch im passenden Moment abschirmen muss, um eigene Pakete erfolgreich in die Entropieaushandlung einschleusen zu können.

[Update]: 20.08.2019, 13:55

gestrichen: Pairing als Voraussetzung für die Attacke

Nils Ole Tippenhauer ergänzt auf Nachfrage: Ein erneutes Pairing ist nicht erforderlich und das erste Pairing muss nicht in Anwesenheit des Angreifers ablaufen. Das Pairing resultiert in einem Long Term Key zwischen dem Master und Slave.

Beim Angriff geht es aber um Session Keys, die aus dem Long Term Key abgeleitet werden, wenn die Kommunikation zwischen Master und Slave nach einer Unterbrechung fortgesetzt wird (z. B. Rechner wird wieder hochgefahren, Kopfhörer angeschaltet, Tastatur angebunden, etc.). Das Ableiten der Session Keys aus dem Long Term Key lässt sich so manipulieren, dass es nur 256 verschiedene Session Keys geben kann. Dadurch kann der Angreifer auch ohne Kenntnis des Long Term Keys den aktuellen Session Key leicht durch Brute Force herausfinden.

KNOB Attack – Key Negotiation of Bluetooth Attack: Breaking Bluetooth Security

CERT-Warnung 918987

(dz)