© Jacek Nowak, 123RF

Ein Forscherteam aus Wissenschaftlern der Universitäten Singapur, Oxford und des Helmholtz-Zentrums für Informationssicherheit haben auf der Usenix einen neuen Angriff auf Bluetooth vorgestellt.

Weil die neue Schwachstelle [1] auf einem konzeptionellen Problem in der Bluetooth-Spezifikation zur Schlüsselverhandlung beruht, haben die Forscher sie Knob-Attacke (Key Negotiation Of Bluetooth) getauft.

Das Problem hängt mit der Bluetooth-Spezifikation zusammen, die schon seit 20 Jahren existiert. Es handelt sich also nicht um eine fehlerhafte Implementation oder einen Softwarefehler. Angreifer können aufgrund des nun entdeckten Sicherheitsproblems den Bluetooth-Funk praktisch aller Geräte abhören. Damit lassen sich dann beispielsweise Eingaben von Bluetooth-Tastaturen oder Tethering-Internet-Daten abfangen.

Die entdeckte Lücke betrifft Basic-Rate- und Enhanced-Data-Rate-Verbindungen (BR/EDR). Das Bluetooth-Low-Energy-Protokoll (BLE) ist laut den Forschern nicht anfällig. Die Schwachstelle bei BR- und EDR-Verbindungen besteht darin, dass die Bluetooth-Spezifikation es erlaubt, die Entropie zu vereinbaren, genauer gesagt, die Länge des Session-Keys. Dabei sind Schlüssel von 1 bis 16 Bytes möglich. Das Protokoll sieht weiter vor, dass die Verhandlung der Schlüssellänge selbst nicht verschlüsselt erfolgt. Dieser Vorgang ist im Link Manager Protocol (LMP) implementiert.

Genau hier liegt der Schwachpunkt: Ein Angreifer kann eine Man-in-the-Middle-Attacke gegen das LMP ausführen, um einen 1-Byte-Schlüssel für die weitere Kommunikation zu vereinbaren. Das Protokoll sieht vor, dass ein Kommunikationspartner eine maximale Schlüssellänge vorschlägt. Der andere Partner kann diese anschließend akzeptieren oder eine kürzere Schlüssellänge setzen.

Nachdem der Angreifer eine Maximallänge von 1 Byte eingestellt hat, wird die weitere Kommunikation verschlüsselt über einen solch kurzen Schlüssel fortgeführt. Anschließend kann der Angreifer diesen Schlüssel dann via Brute Force einfach erraten, es gibt schließlich nur 256 Möglichkeiten.

Der Angriff beruht auf einem Teil des Bluetooth-Protokolls, der normalerweise in der Firmware eingebaut ist. Er ist damit weder vom Betriebssystem abhängig noch von bestimmten Software-Implementationen. Eine nicht ganz triviale Hürde gibt es allerdings, sobald jemand einen Angriff nach diesem Verfahren starten will: Für die Man-in-the-Middle-Attacke muss er nicht nur eigene LMP-Nachrichten senden, sondern auch dafür sorgen, dass die legitimen Nachrichten nicht beim Empfänger ankommen. Zu diesem Zweck muss er entsprechende Störsignale generieren.

Die Entdecker des Angriffs haben mehrere Geräte getestet und dabei lediglich eines gefunden, das einen 1 Byte langen Schlüssel nicht akzeptiert: Der Bluetooth-Chip im Apple Airpod verlangt eine minimale Schlüssellänge von 7 Bytes, also 56 Bits. Allerdings ist ein solcher Schlüssel auch nicht sehr viel sicherer und ebenfalls recht leicht via Brute-Force-Angriff zu brechen.

Am einfachsten ließen sich solche Attacken vermeiden, indem sich die Hersteller auf eine Spezifikation einigen, die einen entsprechend langen Schlüssel mit hoher Entropie vorschreibt. Die aktuelle Spezifikation begründet die verschiedenen Schlüssellängen mit Exportregulierungen und unterschiedlichen Anforderungen in verschiedenen Ländern. Ursprünglich wurden besonders kurze Schlüssellängen in Verschlüsselungsstandards implementiert, um staatlichen Behörden das Entschlüsseln zu ermöglichen.