REGARDER : Une faille de sécurité Bluetooth permet aux pirates de pirater des haut-parleurs
Le Bluetooth est bon marché et omniprésent. Les haut-parleurs et casques, les montres intelligentes, les contrôleurs de jeu et les appareils IoT en dépendent tous pour communiquer. Mais une nouvelle vague d'outils Bluetooth pousse les pirates informatiques à séparer les protocoles, et nos propres tests montrent que les appareils ne sont pas sécurisés.
Nous avons examiné sept modèles d'enceintes sans fil de différents fabricants et les avons tous trouvés vulnérables aux récemment divulgué K hé N égotisation Ô F B Attaque Bluetooth (bouton). Les pirates peuvent prendre le contrôle total d'un appareil Bluetooth sans alerter la victime, ou mener des attaques plus insidieuses comme surveiller une conversation via un casque Bluetooth.
Les résultats des tests de sécurité Bluetooth montrent un risque critique
Nous avons pu tester 7 modèles d’enceintes Bluetooth et nous avons trouvé les 7 vulnérables aux attaques. Les modèles que nous avons testés comprennent 5 enceintes Harman Kardon et JBL actuellement en magasin, ainsi que 2 modèles plus anciens. Nous avons essayé de choisir des enceintes dans différents niveaux de prix.
Pour les tests KNOB, nous avons utilisé un Huawei Nexus 5 rooté exécutant Android Nougat, et pour détourner le haut-parleur, nous avons utilisé un Raspberry Pi 3B+. Les deux appareils utilisaient une version de la preuve de concept KNOB qui corrigeait la ROM pour forcer un cryptage extrêmement faible. Le seul appareil que nous avons activement compromis était un Harman Kardan Onyx Studio 2, mais tous les appareils ont négocié une entropie de 1 octet et sont vulnérables.
Harman Kardon | Onyx Studio2 | 3.0 | Oui |
Harman Kardon | Onyx Studio3 | 4.1 | Oui |
Harman Kardon | Onyx Studio 5 | 4.2 | Oui |
Harman Kardon | Onyx Studio 6 | 4.2 | Oui |
JBL | Retourner 5 | 4.2 | Oui |
JBL | Xtrême 2 | 4.2 | Oui |
JBL | Frais 4 | 4.2 | Oui |
Il n’est pas surprenant que toutes les enceintes que nous avons testées aient été affectées, puisque l’exploit KNOB attaque la norme Bluetooth elle-même. Tous les appareils utilisant des chipsets fabriqués avant 2018 seraient vulnérables. Nous attendons les appareils exécutant Bluetooth 5.1 et supérieur ne devraient pas être vulnérables s'ils sont conformes à la norme mise à jour.
Pourtant, c’était choquant de voir tous les tests se révéler positifs. Nous avons vu connexion après connexion accepter 1 octet d'entropie, en utilisant la preuve de concept publiée et en surveillant le trafic dans Wireshark.
Même l’appareil le plus récent, l’Onyx Studio 6 de Harman Kardon, est vulnérable, bien qu’il ait été fabriqué après l’annonce de KNOB. Nous pensons que les fabricants disposent d’un stock de chipsets qui est toujours utilisé malgré le risque de sécurité.
Qu’est-ce que l’attaque Bluetooth KNOB ?
Bluetooth est une norme très polie. Lorsque deux appareils s’associent, ils commencent à négocier. L’un des points sur lesquels ils s’accordent est le cryptage. Les appareils Bluetooth peuvent demander différents niveaux de sécurité pour la liaison. En pratique, cela augmente la compatibilité et la durée de vie des appareils en garantissant que les anciens appareils peuvent toujours communiquer avec les nouveaux téléphones, et vice versa.
Mais l’attaque profite d’une faille qui permet à un attaquant de forcer deux appareils à utiliser un cryptage faible. Une attaque KNOB réussie réduit l’entropie de la clé de lien à 1 octet. Le niveau d’entropie dicte l’évolution de la clé de cryptage au fil du temps et constitue un élément essentiel de la sécurité Bluetooth. Étant donné que la clé change si lentement, les utilisateurs malveillants peuvent facilement la déchiffrer.
L'équipe derrière KNOB, Daniele Antonioli, Nils Ole Tippenhauer et Kasper Rasmussen, a présenté l'exploit à USENIX cet été. Les implications de cette vulnérabilité sont stupéfiantes ; des milliards d'appareils Bluetooth sont probablement vulnérables aux attaques de négociation clés.
Dans leur livre blanc, l'équipe déclare (c'est moi qui souligne) : « L'attaque KNOB est une menace sérieuse pour la sécurité et la vie privée de tous les utilisateurs Bluetooth . Nous avons été surpris de découvrir des problèmes aussi fondamentaux dans une norme largement utilisée et vieille de 20 ans.
Intensification de l'attaque
Avec KNOB ouvrant la porte, nous avons décidé d’intensifier l’attaque encore plus loin. Dans un environnement contrôlé, nous avons pu exploiter notre accès au lien déchiffré et détourner la session Bluetooth.
Mettre en place l'homme du milieu
Nous avons pu intensifier l'attaque en mettant en place un relais pour MitM après avoir utilisé KNOB pour déchiffrer le cryptage du lien. À l'aide d'outils accessibles au public, nous avons cloné l'appareil cible et mis en place un relais MitM.
Le relais étant terminé et les paquets Bluetooth visibles, nous avons pu jouer le rôle d'un attaquant en interceptant et en modifiant les données en direction du haut-parleur.
A noter que l'appareil attaqué était le plus ancien auquel nous avions accès, un Harman Kardon Onyx Studio 2 fonctionnant sous Bluetooth 3.0 et A2DP 1.3. Il est possible que les versions plus récentes de l’appareil implémentent d’autres contre-mesures pour rendre une attaque comme celle-ci plus difficile.
Détournement de session
Afin de finaliser le détournement, nous avons écrit un script Python pour modifier la session exécutée sur notre M. un je n t il M. relais inactif (MitM), puis retransmettent les paquets modifiés. Dans ce cas, nous avons remplacé le flux audio envoyé au haut-parleur.
[ct_yt_embed url='https://www.youtube.com/watch?v=J4Xs-eB4yOs']
En effet, nous avons pu prendre le contrôle d'un haut-parleur et modifier la chanson en cours de lecture. La victime n'est pas déconnectée de la session Bluetooth. Le lien est toujours actif, mais il envoie des informations à un périphérique relais que nous contrôlons à la place du haut-parleur.
Tant que l'attaquant prend soin de maintenir valide le flux de données du relais, rien n’indique que la session soit attaquée du point de vue de la victime , à part le changement de musique.
Que se passe-t-il avec la sécurité Bluetooth ?
Ce n’est pas une coïncidence si une énorme nouvelle vulnérabilité Bluetooth fait son apparition. De nouveaux outils ont récemment été publiés pour donner aux pirates une vision claire du trafic Bluetooth lorsqu'il circule dans les airs.
Certains de ces services publics sont encore approximatifs, mais ils s’améliorent rapidement. Et, plus important encore, ils ont éliminé le besoin d’un matériel extrêmement coûteux qui était auparavant la seule option pour les pirates Bluetooth.
Ces utilitaires ouvrent la recherche sur la sécurité Bluetooth au grand public. Plutôt qu'une solution tout-en-un coûteuse comme Ellisys Bluetooth Explorer, les chercheurs utilisent des appareils bon marché et facilement disponibles fonctionnant en mode débogage.
Nous pensons que cela pourrait être le début d’un changement radical dans le segment de la sécurité Bluetooth, et les utilisateurs doivent être conscients que de plus en plus d’exploits sont développés à l’aide de ces chaînes d’outils.
Une boîte à outils moderne pour les pirates Bluetooth
Dans le cadre de nos recherches sur la sécurité Bluetooth, nous avons mis en place un laboratoire de test moderne. Nous avons utilisé les logiciels suivants, ainsi qu'un Raspberry Pi 3B+ et un smartphone Nexus 5 rooté, pour effectuer des recherches.
bleu interne est un banc d'essai qui donne aux chercheurs un accès de bas niveau aux appareils Bluetooth. Selon les chercheurs impliqués, cela a joué un rôle clé dans le développement de l’attaque KNOB. Internalblue peut enregistrer le trafic, vider la mémoire, envoyer des paquets, envoyer des instructions d'assemblage, définir des points d'arrêt, etc.
outil gatt est un utilitaire pour explorer B Bluetooth L aïe ET nergy (BLE), une émanation plus récente de la norme de base Bluetooth avec certaines fonctionnalités d'économie d'énergie. Les chercheurs s'intéressent à la norme BLE car elle permet aux utilisateurs non couplés d'interroger les appareils pour obtenir des informations.
btproxy aide les chercheurs à créer un relais MitM pour analyser le trafic entre deux appareils. Les attaquants utilisent ce logiciel pour écouter les appareils Bluetooth et injecter leurs propres données dans la connexion.
Ces utilitaires, ainsi qu’une poignée d’outils spécialisés, constituent un atout considérable pour les chercheurs et exposent des failles critiques dans la sécurité Bluetooth.
Le saut de chaîne est la grâce salvatrice de Bluetooth
S’il y a un facteur qui empêche ces exploits de devenir une nuisance quotidienne, c’est bien la résilience du Bluetooth. Afin d'exécuter KNOB, l'attaquant doit être présent au moment de l'appairage. Sinon, un attaquant devra tenter de forcer les appareils à se reconnecter alors qu’ils sont présents.
Ces attaques de ré-appariement sont difficiles à réaliser. Dans certains cas, ils impliquent l’exploitation d’une vulnérabilité matérielle, mais le seul moyen garanti de forcer les appareils à se connecter et à s’appairer à nouveau est d’interrompre leur connexion en faisant exploser le spectre avec du bruit.
Heureusement, Bluetooth dispose de systèmes robustes pour empêcher les attaques de ré-appairage. Le spectre Bluetooth est divisé en 79 bandes distinctes de 1 MHz. Les appareils sautent sur ces bandes 1 600 fois par seconde, de manière aléatoire. Afin de générer suffisamment de bruit pour garantir une interruption, l’attaquant doit s’exposer en utilisant un brouilleur de fréquence multicanal haute puissance.
Ces appareils sont illégaux. Les forces de l’ordre les trouvent régulièrement à l’aide de la triangulation et d’autres méthodes, et leur utilisation constitue un risque majeur. Pour nos tests, nous n’avons effectué aucune attaque de ré-appairage. Nous avons plutôt stipulé qu’un attaquant suffisamment motivé pouvait mener une telle attaque.
Les implications inquiétantes de KNOB
Notre attaque contre ces haut-parleurs met en évidence une manière inoffensive pour les pirates d’exploiter leur contrôle du Bluetooth, mais ne vous y trompez pas : la porte est restée grande ouverte. Dans leur article, les auteurs de l’attaque KNOB ont partagé leurs inquiétudes quant au fait que la vulnérabilité pourrait être exploitée de manière très sérieuse.
Par exemple, il peut être possible d’attaquer un adaptateur Internet Bluetooth et de détecter le trafic. Ou attaquez un casque Bluetooth utilisé pour émettre des commandes à un assistant virtuel, puis injectez des commandes malveillantes ou surveillez les réponses.
Nous sommes également préoccupés par l’utilisation croissante du Bluetooth comme mécanisme d’authentification. Par exemple, certains scooters électriques loués par des applications de covoiturage utilisent Bluetooth pour associer un compte utilisateur au scooter. Les attaques contre ces mécanismes d'authentification peuvent permettre le vol ou la fraude.
Les implications de cette vulnérabilité sont extrêmement préoccupantes.Tout le monde doit supposer que sa connexion Bluetooth n’est pas sécurisée.
Que peuvent faire les consommateurs face aux failles de sécurité Bluetooth ?
Il est très important que les individus cessent d’acheter et d’utiliser du matériel Bluetooth plus ancien. Il est peu probable que les fabricants soient un jour en mesure de corriger un nombre important d’appareils concernés. Les appareils Bluetooth ont tendance à être difficiles à mettre à jour et, dans certains cas, il est impossible de corriger le micrologiciel.
Dans la mesure du possible, essayez de vous connecter à des appareils Bluetooth plus anciens à l’aide de l’application officielle du fabricant et exécutez une mise à jour. Si les mises à jour ne sont pas disponibles, soyez conscient des risques et essayez de suivre quelques directives de bon sens :
- N'ayez pas de conversations sensibles sur un appareil Bluetooth
- Désactivez Bluetooth sur votre téléphone et votre ordinateur lorsqu'ils ne sont pas utilisés
- Ne comptez pas sur Bluetooth pour le contrôle d’accès au site
- Recherchez les appareils utilisant Bluetooth 5.1 et supérieur
- N'utilisez pas d'appareils Bluetooth pour communiquer avec des assistants virtuels
- Évitez d'utiliser des adaptateurs Internet Bluetooth
À mesure que les failles de sécurité Bluetooth sont révélées, les consommateurs doivent rester conscients des risques associés à ces appareils. KNOB n’est que la première d’une longue série de menaces émergentes, et le fait qu’elle affecte la norme elle-même est un mauvais signe pour l’état de la sécurité Bluetooth en général.