BIAS：蓝牙冒充攻击( 八 ) _蓝牙冒充

4）SC SI：安全连接从属冒充
在以下两段中，描述了如何测试受害者B是否容易受到四次攻击。

文章插图

a）主冒充：攻击设备冒充不需要在场的受害者A 。开始建立从攻击设备到受害者B的安全连接。如果受害者B不要求攻击设备进行身份验证（如上图所示），则受害者B容易受到LSC MI的攻击。如果受害者B支持安全连接，那么它也容易受到SC MI的攻击，因为身份验证过程已从安全降级为旧式（如下图所示）。

文章插图

b）从属冒充：攻击设备冒充了不需要在场的受害者A 。开始从受害者B到受害者A的安全连接建立。如果攻击在接受连接请求之前将角色从从角色切换到主角色，则执行单方面的旧式身份验证，并开始会话密钥协商而无需受害者B要求进行身份验证，那么受害者B容易受到LSC SI的攻击。如果受害人B支持安全连接，则它也容易受到SC SI的攻击，因为身份验证过程已从安全降级为旧式（如上图所示）。
评估设置允许在几分钟内测试针对目标受害者的BIAS攻击，并且由于它使用廉价的硬件和开源软件，因此成本较低。攻击设备包括连接到Linux笔记本电脑的CYW920819EVB-02板。该板的价格约为50美元，可以使用任何Linux笔记本电脑甚至Raspberry PI来控制该板。其他对BIAS攻击感兴趣的研究人员可以轻松地复制设置以测试更多设备。
B.评估结果

文章插图

上表显示了评估结果。第一列包含蓝牙芯片名称，第二列包含使用该芯片评估的设备的名称。第三和第四列评估LSC MI和LSC SI BIAS攻击。第五和第六列评估SC MI和SC SI BIAS攻击。实心圆圈（●）表示芯片和相关设备不容易受到攻击，而空心圆圈（○）表示芯片和相关设备不容易受到攻击。安全连接在蓝牙标准中是可选的，并且当芯片/设备不支持安全连接时，在SC列中使用。
上表确认评估的所有31个蓝牙设备（28个独特的蓝牙芯片）都容易受到BIAS攻击。易受攻击的设备包括英特尔，高通（Snapdragon），赛普拉斯（包括Broadcom无线物联网业务），苹果，三星（Exynos）和CSR的蓝牙芯片。此外，易受攻击的设备列表包括来自Android（Bluedroid和Fluoride）， Apple（IOS ， iPadOS和macOS）， Linux（BlueZ）， Microsoft（windows 10和Windows Phone），赛普拉斯和CSR 。总体而言，攻击了16个旧版安全连接设备和15个安全连接设备，它们支持蓝牙版本5.0、4.2、4.1及更低或等于4.0的蓝牙。
唯一的例外是ThinkPad 41U5005鼠标。鼠标不容易受到LSC SI攻击。特别是让鼠标与攻击设备建立安全连接时，即使攻击设备切换了角色并完成了单方旧式身份验证，鼠标也始终会要求攻击板进行身份验证，然后再开始会话密钥协商。
该表确认BIAS攻击符合标准，因为无论蓝牙芯片，蓝牙主机堆栈，安全连接的使用和蓝牙版本号如何，攻击均有效。此外，市场上所有使用表中任何易受攻击的芯片的设备都应易于受到BIAS攻击。

0x08 DiscussionA. BIAS和KNOB攻击的组合BIAS攻击和KNOB攻击都符合标准，但是它们不同，因为它们通过利用蓝牙安全连接建立的不同阶段达到不同的目标。BIAS攻击以链接密钥身份验证为目标，并且它们使攻击者无需拥有链接密钥即可身份验证为主密钥和从属身份。
KNOB攻击以会话密钥协商为目标，并允许攻击者降低会话密钥的熵（以强行攻击）。仅KNOB攻击无法冒充蓝牙设备，因为攻击者没有拥有长期密钥可以将BIAS和KNOB攻击链接起来，以冒充一个蓝牙设备，在不拥有链接密钥的情况下完成身份验证，以低熵协商会话密钥，建立安全连接，并强制使用会话密钥。两种攻击的结合是新颖而强大的。例如，攻击者可以通过发送加密命令来冒充敏感文件的接收者并恢复明文，或冒充一个解锁器并解锁设备。
B. BIAS攻击的根本原因评估的BIAS攻击由在蓝牙标准中确定的四个根本原因（RC）启用。这些根本原因的组合使攻击者可以对LSC和SC进行主-从冒充攻击。在下文中总结了根本原因：