新的蓝牙漏洞使攻击者能够监视加密的连接

该漏洞被指定为CVE-2019-9506“加密密钥协商协议”允许两个蓝牙BR/EDR设备在配对时为加密密钥选择一个熵值，以确保其连接的安全。

被称为蓝牙的密钥协商(旋钮)攻击时，该漏洞可能会允许靠近目标设备的远程攻击者拦截、监视或操纵两个配对设备之间的加密蓝牙通信。
Bluetooth BR/EDR（基本速率/增强数据速率，也称为“Bluetooth Classic”）是一种无线技术标准，通常设计用于相对短距离、连续的无线连接，例如将音频流传输到耳机或便携式扬声器。

从安全性的角度来看，蓝牙BR/EDR协议的核心规范支持熵在1到16字节/八位字节之间的加密密钥，其中值越高意味着越安全。

然而，研究人员发现，设备通过链路管理器协议（LMP）执行的熵协商既不加密也不认证，可以通过空中劫持或操纵。

蓝牙BR/EDR密钥协商漏洞是如何工作的？

新发现的蓝牙漏洞可能会让远程攻击者诱使两个目标设备同意一个只有1字节（8位）熵的加密密钥，最终使暴力破解协商的加密密钥变得容易。

“例如，假设有两个控制器试图建立连接：Alice和Bob。在验证链接密钥后，Alice建议她和Bob使用16字节的熵。这个数字N可能在1到16字节之间。Bob可以接受这个，拒绝这个，中止协商，或者提出一个较小的值。”解释了CERT协调中心发布的一条建议。

“Bob可能希望提出一个较小的N值，因为他（控制器）不支持Alice提出的较大字节数。提出较小字节数后，Alice可以接受，并请求与Bob一起激活链路层加密，Bob可以接受”。

然而，通过利用报告的漏洞，“攻击者Charlie可以通过拦截Alice对Bob的提案请求并更改N，迫使Alice和Bob使用较小的N”。
一旦解密，攻击者可以被动地捕获通过蓝牙通信传输的加密消息，解密密文并注入有效的密文，所有这些都是实时和秘密的。

除此之外，还需要注意的是，要使攻击成功：

• 两个蓝牙设备必须建立BR/EDR连接；
• 两个蓝牙设备都必须易受此缺陷的攻击；
• 配对时，攻击者应该能够阻止设备之间的直接传输；
• 攻击必须在配对设备连接的协商或重新协商期间执行；不能攻击现有会话。

此外，蓝牙发布的官方公告。com还表示，“由于并非所有蓝牙规范都要求最小加密密钥长度，因此一些供应商可能已经开发了蓝牙产品，其中BR/EDR连接上使用的加密密钥长度可以由攻击设备设置为单个八位字节”。

受影响的供应商/软件/操作系统和补丁更新

这个漏洞是由一组研究人员发现的，包括来自SUTD的Daniele Antonioli，来自CISPA的Nils Ole Tippenhauer博士和来自牛津大学的Kasper Rasmussen教授。

研究人员在昨天发布的一篇详细论文[PDF]中说：“我们评估了来自英特尔、博通、苹果和高通等不同供应商的14款蓝牙芯片上的旋钮攻击。除了苹果W1芯片接受（至少）7字节的熵外，所有芯片都接受1字节的熵”。

为了减轻旋钮攻击，蓝牙规范的维护者强烈建议设备制造商和软件供应商为BR/EDR连接强制执行7个八位字节的最小加密密钥长度。

为了修补此漏洞，各种受影响的供应商已经开始发布其操作系统、固件和软件的安全更新，包括：

• 微软Windows版
• Cisco针对IP电话和Webex
• 谷歌安卓
• 适用于macOS、iOS和watchOS的苹果
• 黑莓