蓝牙漏洞：跨设备风险缓解

I. 引言

蓝牙已成为数十亿智能手机、计算机、可穿戴设备等产品进行短距离连接和数据交换的关键技术。随着技术的发展，它也带来了相应的安全缺陷。

最近在蓝牙经典配对中发现了一个严重的远程代码执行漏洞，影响了Android、iOS、macOS和Linux设备。根据2023-24年数据，超过39亿活跃Android设备、13亿以上iPhone以及数千万台Mac和Linux PC都面临此漏洞威胁。成功利用该漏洞可使攻击者连接假冒键盘或输入设备，远程注入击键并完全控制目标设备。

II. 代码破解：理解蓝牙技术中的最新RCE漏洞

蓝牙工作在2.4 GHz频段，使用短距离无线电通信传输数据，传输距离可达100米。对蓝牙的广泛依赖使其成为网络攻击的主要目标。多年来出现了多个可被利用来拦截流量、跟踪设备位置、拒绝服务和获取未授权访问的漏洞。

最近，SkySafe的安全研究员Marc Newlin披露了一个严重的远程代码执行漏洞，编号为CVE-2023-45866。该漏洞使攻击者能够远程连接到支持蓝牙的Android、macOS、iOS和Linux设备，并通过注入击键来控制它们。本文分析该漏洞的技术基础，概述其影响范围，以及对企业和个人构成的重大安全风险，同时提供缓解策略和建议。

III. 蓝牙漏洞技术分析

该蓝牙漏洞源于受影响设备上蓝牙经典配对实现的缺陷。它允许攻击者在没有认证或用户确认的情况下将假冒键盘或输入设备连接到目标系统。

中间人攻击 蓝牙经典配对涉及以下高级步骤：

1. 设备发现 - 两个设备通过扫描建立相互感知
2. 链路密钥生成 - 生成链路密钥以认证和加密连接
3. 认证 - 使用链路密钥验证彼此身份
4. 链路密钥注册 - 存储链路密钥用于未来认证

该漏洞特别绕过了上述步骤2和3，允许攻击者设备在没有适当认证的情况下连接。

IV. 技术原因

根本原因是受影响的蓝牙协议栈实现中对简单安全配对协议验证不当。

SSP旨在相对于基于PIN的配对等旧方法加强蓝牙经典配对。它采用椭圆曲线密码学生成初始加密密钥，然后使用该密钥在两个设备之间建立安全连接，随后交换认证令牌并导出最终链路密钥。

然而，SSP验证过程中的缺陷可以在链路密钥交换发生前建立未认证连接。通过伪装成受支持的输入设备（如键盘），攻击者可以通过此不安全通道注入击键，因为主机蓝牙协议栈未能验证连接的真实性。

具有数字比较的蓝牙安全简单配对

V. 攻击方法

要成功执行攻击，攻击者只需在目标系统附近配备具有蓝牙功能的设备，以及在Linux上安装hcitool和bluez等标准工具。

涉及的步骤包括：

• 使用hcitool扫描附近可发现的蓝牙设备
• 获取目标设备的媒体访问控制地址
• 使用Bluez工具作为蓝牙HID设备向目标发起SSP连接，如键盘，无需有效认证
• 使用卡内基梅隆大学的KeyKeriki等工具通过未授权连接注入击键

这导致在登录用户或默认蓝牙权限下在目标设备上执行任意代码。

蓝牙低功耗重连接欺骗攻击

VI. 概念验证

研究员Marc Newlin通过开发针对Linux、Android和iOS设备的概念验证漏洞利用代码演示了该攻击。他能够远程连接假冒键盘并注入击键以打开终端，执行id命令确认访问。相同方法可用于运行任何其他命令或安装恶意软件。

Newlin证明该漏洞影响多个Android版本，包括4.2.2、6.0.1.10、11、13和14。在iOS上，16.6版本被确认可利用，而macOS版本Monterey 12.6.7和Ventura 13.3.3也受影响。运行BlueZ的Linux发行版，包括Ubuntu 18.04、20.04、22.04和23.10也易受攻击。这证明了该漏洞在当前和传统蓝牙实现中的广泛影响。

VII. 对操作系统的影响范围

通过利用此漏洞，数十亿运行Android、iOS/iPadOS、macOS和Linux的设备可能受到威胁。

Android设备 任何启用蓝牙的Android设备都易受攻击。根据Google的数据，这包括超过30亿活跃设备，包括手机、平板电脑、电视、可穿戴设备和各种具有蓝牙连接的物联网设备。

iOS设备 所有启用蓝牙的iPhone、iPad和Mac都易受攻击。

Linux设备 Linux中的蓝牙协议栈实现BlueZ在多个流行发行版中受到影响。基于Debian的发行版如Ubuntu构成了Linux桌面和服务器的最大部分。运行嵌入式Linux的企业物联网设备和工业系统也面临风险。

Windows和ChromeOS 微软和Google表示Windows和ChromeOS不易受攻击，因为它们的蓝牙协议栈实现执行适当的SSP验证。

VIII. 对企业和个人的安全影响

该蓝牙漏洞构成了严重威胁，具有大规模利用的潜力。攻击者可利用它绕过认证系统，获得持久远程访问，并在所有者不知情的情况下控制设备。

一些显著的安全风险包括：

IX. 缓解策略和建议

企业和个人应采取组合措施，以最小化利用此蓝牙漏洞的攻击风险：

X. 采取全面安全措施

XI. 要求供应商负责

组织应向设备制造商和供应商施压，要求及时提供安全修复和漏洞透明度。采购政策应包括安全标准。

XII. 增强蓝牙安全的必要性

虽然发现的漏洞源于特定实现缺陷，但它突显了蓝牙规范本身缺乏足够的认证机制。在没有任何用户确认或同意的情况下配对外围设备存在固有风险。负责定义核心蓝牙标准的蓝牙技术联盟应旨在限制规范未来修订中的未认证连接。

XIII. 可纳入的一些改进：

• 对所有配对连接强制要求用户确认
• 引入认证消息的加密签名
• 在任何数据传输前强制加密连接
• 为所有平台实现定义统一的安全要求和验证标准

采用这些措施将不允许随机未认证设备连接的可能性，并整体提高蓝牙安全性。

XIV. 供应商和安全研究员的角色

虽然标准改进需要时间，但设备供应商和软件开发人员可以立即行动以增强其蓝牙实现：

• 对协议栈代码执行严格的安全分析并修复缺陷
• 实现PIN配对和链路密钥验证等安全措施
• 为漏洞提供及时修复和透明度
• 采用威胁建模、模糊测试和红队测试等安全开发最佳实践

持续审查有助于在漏洞利用广泛传播前早期检测问题，使供应商能够通过发布安全补丁快速降低风险。

XV. 结论

蓝牙漏洞CVE-2023-45866对跨多个操作系统的数十亿设备构成严重威胁。攻击者可通过欺骗蓝牙实现进行未认证配对来获得完全设备控制和远程代码执行。为降低风险，企业应紧急应用可用补丁，遵循安全蓝牙实践，监控威胁并采取全面安全措施。

虽然标准改进需要时间，但供应商需要增强其蓝牙实现并及时解决漏洞。持续的安全研究和负责任披露对于揭示协议和软件中的潜在风险至关重要。通过供应商、标准机构和网络安全社区的协作努力，蓝牙安全性可以得到实质性加强，以应对新兴威胁。

图片引用 图片1：https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=9706334 图片2：https://www.researchgate.net/figure/Bluetooth-Secure-Simple-Pairing-with-numeric-comparison-12_fig2_340356923

研究与参考： https://blog.bugzero.io/exploiting-a-bluetooth-vulnerability-to-hack-linux-macos-ios-and-android-bd15e1a8905d https://www.csoonline.com/article/1291144/magic-keyboard-vulnerability-allows-takeover-of-ios-android-linux-and-macos-devices.html https://www.spiceworks.com/it-security/endpoint-security/news/bluetooth-vulnerability-mac-ios-linux-android/ https://thehackernews.com/2023/12/new-bluetooth-flaw-let-hackers-take.html