索尼 | 报告 #2642615 - 明確な認証不備および潜在的な中間者攻撃の可能性(Clear Authentication Deficiencies & Potential for Man-in-the-Middle Attacks) | HackerOne
摘要
本报告详细描述了索尼WH-1000XM5耳机中存在的认证不备漏洞。攻击者可通过结合现有蓝牙攻击手段,轻松实现中间人(MitM)攻击。报告者请求为该漏洞分配CVE编号。
漏洞类型
认证不备
漏洞详情
恶意第三方(以下简称攻击者)可冒充已与WH-1000XM5配对的设备,即使WH-1000XM5未处于配对模式且无需用户任何操作,攻击者设备也能成功连接。分析蓝牙数据包发现,WH-1000XM5在重新连接时的认证过程存在缺陷,未遵循安全简单配对(SSP)的重新连接流程。
受影响产品
WH-1000XM5
PoC(概念验证)
PoC设备
受害者主设备
制造商:Microsoft
型号:Surface Laptop 4
操作系统:Windows 11 Home
驱动:Intel(R) Wireless Bluetooth(R)
蓝牙版本:5.1
受害者从设备
制造商:Sony Corporation
型号:WH-1000XM5
蓝牙版本:5.2
攻击者设备
型号:Raspberry Pi 4 Model B
操作系统:Raspberry Pi OS
系统:32bit
Debian版本:11 bullseye
内核版本:6.1.55
BlueZ版本:5.55
蓝牙制造商:Cypress Semiconductor
蓝牙版本:5.0
PoC设置
预先将WH-1000XM5与Surface Laptop 4配对。
PoC步骤
- 将Raspberry Pi的蓝牙地址和适配器名称欺骗为与Surface Laptop 4相同的设置。
- 将Raspberry Pi的蓝牙适配器状态设置为可发现。
- 将WH-1000XM5闲置一段时间或手动关闭电源。
- 关闭Surface Laptop 4电源。
按以上步骤操作后,WH-1000XM5即使未处于配对模式也会与Raspberry Pi配对并连接。附件为重现漏洞时在Raspberry Pi端捕获的蓝牙数据包(参见WH-1000XM5_vuln_poc.pcapng)。注意,Raspberry Pi此前从未与WH-1000XM5配对过。
潜在MitM攻击
神户大学研究团队提出了一种利用蓝牙省电模式的设备劫持攻击(详见2024年7月信息处理学会发表的论文《Bluetooth省電力モードを用いるデバイスハイジャック攻撃》)。虽然WH-1000XM5并非省电模式,但其在无操作一段时间后会自动关闭电源(根据帮助指南),此行为类似于省电模式中的睡眠模式。研究证明,攻击者可利用蓝牙会话的临时断开(如上述行为)劫持会话。
假设WH-1000XM5与笔记本电脑已配对,若WH-1000XM5自动关机,攻击者可冒充WH-1000XM5与笔记本电脑配对。反之,若攻击者冒充笔记本电脑,本报告中的漏洞允许攻击者与WH-1000XM5配对。因此,攻击者可成为WH-1000XM5与笔记本电脑通信的中间人,这不仅对完整性和可用性,也对机密性构成严重威胁。
请求
报告者认为此漏洞并非产品规格或蓝牙协议规格所致,期待索尼对此报告的回应。若索尼为CNA(CVE编号机构),请分配CVE编号;否则,报告者将向IPA/JPCERT报告并请求分配CVE编号。
附录
更改Raspberry Pi蓝牙名称的方法
- 在/etc目录下创建machine-info文件。
- 打开文件,使用PRETTY_HOSTNAME变量定义蓝牙名称(例如:PRETTY_HOSTNAME=Example Laptop)。
- 配置后重启蓝牙服务。
更改Raspberry Pi蓝牙地址的方法
附件提供Golang脚本(main.go),在Raspberry Pi上构建并运行以下命令:
|
|
感谢关注本报告。如需更多信息(如演示视频、产品编号等),请联系报告者。期待及时回应与合作,共同应对潜在安全风险。
时间线更新
- 2024年8月6日:报告提交。
- 2025年2月27日:漏洞修复发布。
- 2025年3月7日:致谢信息发布于索尼官方网站。
- 报告者与索尼团队就漏洞根因、修复进度及披露事宜进行多次沟通,最终报告被标记为已解决并同意披露。
影响
- 拒绝服务(DoS)
- 链路密钥劫持
- 中间人攻击(MitM)
附件:WH-1000XM5_vuln_poc.pcapng、main.go