BIAS：蓝牙冒充攻击( 七 ) _蓝牙冒充

文章插图

在本节中，以冒充Nexus 5智能手机为例。Nexus 5运行Android 6.0.1 ，并包含CYW4339蓝牙4.1 SoC 。使用BIAS工具包，从数据库中选择Nexus 5冒充文件（IF），然后配置攻击设备以冒充上表左栏中列出的所有功能。结果，发现蓝牙设备的用户无法通过Nexus 5告诉攻击设备，因为他们具有相同标识符的相同功能。
然后，利用提供的攻击文件（AF），使用工具包配置对抗角色切换和单方身份验证。通过修补主板固件来配置角色开关。hook处理远程连接请求的功能，并对其进行了修补，以便电路板在接受连接请求之前始终将角色从从角色切换到主角色。单板旧式身份验证由板上固件的另外两个补丁实施。建立连接后，第一个修补程序立即启动旧式身份验证过程。在板对远程受害者进行身份验证之后，第二个补丁立即启动会话密钥协商过程。因此，攻击设备在冒充Nexus 5时，无论其蓝牙角色如何，都无需在安全会话建立期间进行身份验证。

文章插图

为了验证由传统身份验证过程产生的响应，实现了HL哈希函数。如式1所示，此类哈希函数使用E1计算来自链接密钥（KL），证明方的蓝牙地址（BTADDP）和验证方（CV）发送的质询的响应（RP）， E1内部使用SAFER +分组密码，也将其实现。为了检查实施的正确性，成功地针对标准中的测试向量对其进行了测试。
E. BIAS实现安全连接在本节中，介绍了安全连接降级攻击的实现。这种攻击需要以下功能。攻击设备必须冒充支持安全连接但在建立安全连接期间降级为“传统安全连接”的设备。攻击设备必须在接受来自主设备的连接之前切换角色，并执行符合标准的单方面身份验证。现在，描述如何在攻击设备上实现这些功能，该攻击设备由连接到Linux笔记本电脑的CYW920819EVB-02板组成。
在将使用Pixel 2智能手机的冒充作为参考示例。Pixel 2运行Android 10 ，并包含Snapdragon 835蓝牙5.0 SoC 。使用BIAS工具包，从数据库中选择Pixel 2冒充文件（IF），然后将攻击设备配置为模仿上表右栏中列出的所有功能。结果，发现蓝牙设备的用户无法通过Pixel 2告诉攻击设备，因为他们具有相同标识符的相同功能。
然后，使用工具包通过相关的AF为板配置安全连接降级，对抗角色切换和单方身份验证。使用可修改主板蓝牙固件中的“安全连接”支持标志的补丁来实现“安全连接”降级。对抗角色切换和单方身份验证使用在上节相同补丁来实现。结果，攻击板在冒充Pixel 2的同时，降低了用于安全连接建立的身份验证程序，并绕过了身份验证。

文章插图

为了验证受害者配对时由安全认证程序产生的响应，实现了HS哈希函数。哈希函数内部使用h4（如式2中所示）从KL ， “ btdk”字符串， BTADDM和BTADDS计算设备认证密钥（KA）。然后， h5使用KA ， CM和CS来计算RM和RS的级联，如式3所示。按照h4和h5的规范实现，使用标准中提供的测试向量来测试实现。

0x07 Evalution在本节中描述了BIAS攻击评估设置和结果。使用总共28种独特的蓝牙芯片，成功地对16台Legacy Secure Connections设备和15台Secure Connections设备进行了主从模仿攻击。
A.评估设置考虑受害者A ，受害者B和攻击者的攻击场景。受害者A和攻击设备是连接到两台运行Linux的笔记本电脑的CYW920819EVB-02开发板，支持安全连接。受害者B是可以使用的任何其他蓝牙设备，它可能支持安全连接。受害者A与受害者B配对，并且攻击者不知道他们的长期密钥（KL）。攻击者冒充受害者A ，并尝试使用BIAS工具包与受害者B作为主和从属建立安全连接。执行四种BIAS攻击：
1）LSC MI：旧版安全连接（LSC）主冒充
2）LSC SI：旧式安全连接从冒充
3）SC MI：安全连接（SC）主冒充