模糊攻击绕过蓝牙经典和BLE安全机制

BLURtot(模糊攻击)利用缺少交叉传输密钥验证的漏洞，允许攻击者绕过蓝牙经典和蓝牙低能耗安全机制。

蓝牙的交叉传输密钥派生(CTKD)容易受到攻击，使其能够从蓝牙低能量攻击Bluetooth Classic，反之亦然。蓝牙范围内的远程攻击者可能会冒充中间人，与任意设备建立恶意会话。

受影响的设备：攻击符合标准，因此所有支持CTKD的BT/BL设备都可能易受攻击；我们测试的所有设备都易受攻击。

提供者：洛桑联邦理工学院(EPFL)的Daniele Antonioli和Mathias Payer，Helmholtz信息安全中心(CISPA)的Nils Ole Tippenhauer，以及牛津大学的Kasper Rasmussen。

在这里，我们提供一组影响蓝牙经典(BT)和蓝牙低能量(BLE)的新颖且符合标准的蓝牙漏洞的更多细节。未发现的漏洞会影响称为交叉传输密钥派生(CTKD)的安全机制。CTKD用于提高蓝牙配对的可用性，它允许仅通过在BT或BLE上配对两个设备(而不是将它们配对两次)来生成BT和BLE配对密钥。

然而，我们发现CTKD引入了交叉传输安全问题，攻击者可以滥用这些问题从BLE攻击BT，反之亦然。具体地说，我们的攻击能够通过滥用CTKD来冒充中间人，并与任意设备建立恶意会话，同时击败BT和BLE设置的所有安全机制。我们的工作被命名为BLURroot，相关的攻击被称为模糊攻击，因为它们模糊了BT和BLE之间的安全边界。

这项工作背后的团队包括来自洛桑联邦理工学院(EPFL)HexHave小组的Daniele Antonioliand Mathias Payer，来自Helmholtz信息安全中心(CISPA)的Nils Ole Tippenhaur，以及来自牛津大学的Kasper Rasmussen。

在本文档的其余部分，我们将提供有关技术细节、披露、影响、我们建议的缓解措施以及蓝牙SIG的响应的信息。

蓝牙标准包括蓝牙经典(BT)(也称为蓝牙BR/EDR)和蓝牙低能量(BLE)两种技术。大多数移动设备，包括笔记本电脑、智能手机、平板电脑、耳机和智能手表，都支持这两种设备，并被定义为双模蓝牙设备。要在BT和BLE上使用双模设备，用户必须配对她的设备两次，一次是BT，一次是BLE。由于配对同一设备被认为对用户不友好，2014年，随着蓝牙4.2版的发布，蓝牙标准引入了一种安全机制，允许用户配对一次双模蓝牙设备(通过BT或BLE)，然后通过BT和BLE安全地使用它们。这种安全机制被称为交叉传输密钥派生(CTKD)，顾名思义，它使得能够跨不同的传输派生配对密钥(即从BLE派生BT配对密钥，反之亦然)。

尽管CTKD是一种安全关键机制，但它不是蓝牙威胁模型的一部分，也没有CTKD的安全评估。特别是，CTKD受到5个主要问题(即漏洞)的影响，使得攻击者能够在BT和BLE之间滥用蓝牙角色、关联、安全模式、密钥和配对状态。这些问题源于蓝牙标准中缺乏交叉传输威胁模型。该标准认为BT和BLE具有独立的威胁模型和安全架构，而通过CTKD，为交叉传输攻击(即利用BLE中的漏洞利用BT的攻击，反之亦然)开辟了通道。

我们演示了已识别的CTKD问题可被蓝牙范围内的远程攻击者与受害者一起利用。特别是，攻击者可以在绕过BT和BLE提供的所有安全机制(包括安全连接或强关联)的情况下执行模拟、中间人和恶意会话建立攻击。这些都是非常严重的攻击，违反了蓝牙承诺的安全保证。我们通过使用10个独特的蓝牙芯片在13个常见的蓝牙设备上进行测试，确认了我们的攻击的可行性。他们都很脆弱。

您可以在我们的蓝牙预印本中找到关于CTKD的技术细节、我们的安全分析、对主题的详细讨论、讨论和潜在的缓解措施。

我们在2020年3月发现了该漏洞，并在2020年5月负责任地披露了我们的发现以及针对蓝牙SIG的建议对策。我们将我们的发现保密，蓝牙SIG在没有通知我们的情况下于2020年9月10日公开披露了这些发现。我们的工作被分配给CVE-2020-15802。

模糊攻击是对所有蓝牙用户的重大威胁，相关漏洞仍为0天。我们的声明得到了我们的实验结果的支持，在这些实验中，我们成功地对13种不同的设备进行了假冒、中间人和恶意会话建立攻击。我们的设备样本包括戴尔、谷歌、联想、三星和索尼等制造商，Windows10、Linux和Android等操作系统，以及Cypress、高通、英特尔、Broadcom和剑桥Silicon Radio(CSR)等蓝牙芯片制造商。

作为我们披露的一部分，我们提供了具体的修复方法来打击BLURs攻击。特别是，我们建议在某些情况下禁用通过CTKD覆盖密钥的功能，在BT和BLE之间强制执行强关联和SecureConnections和角色，在不需要时禁用BT和/或BLE配对，并在行为奇怪的情况下添加用户通知。我们的修复可以在标准级别实施，不需要特定于供应商的功能。

在撰写本文时，还没有部署补丁程序来解决实际设备上的BLR攻击。蓝牙SIG建议，标准的5.1版将包含减轻模糊攻击的指导方针(例如，按照我们的对策中的建议，在某些情况下禁用密钥覆盖)，但此类指导方针(尚未)公开，我们无法对其发表评论。蓝牙SIG提供了一份关于蓝牙牙齿和蓝牙攻击的公开声明。