Беспроводной стандарт передачи данных Bluetooth

LK_K(A) = E21[BD_ADDR(A), LK_RAND(A)] где LK_K(A|B) — это промежуточные  величины

LK_K(B) = E21[BD_ADDR(B), LK_RAND(B)]

Kab = LK_K(A) XOR LK_K(B)

Проверим PIN. Возьмем  полученный Kab и перехваченный AU_RAND(A) и вычислим SRES(A).

После сравниваем полученный результат с SRES(A)', хранящийся в сообщении номер 5:

SRES(A) = E1[AU_RAND(A), Kab, BD_ADDR(B)]

Если SRES(A) == SRES(A)' — PIN успешно угадан. В противном случае повторяем последовательность действий заново с новой величиной PIN'.

Первым, кто заметил  эту уязвимость, был англичанин Олли Вайтхауз (Ollie Whitehouse) в апреле 2004 года. Он первым предложил перехватить сообщения во время сопряжения и попытаться вычислить PIN методом перебора, используя полученную информацию. Тем не менее, метод имеет один существенный недостаток: атаку возможно провести только в случае, если удалось подслушать все аутентификационные данные. Другими словами, если злоумышленник находился вне эфира во время начала сопряжения или же упустил какую-то величину, то он не имеет возможности продолжить атаку.

7.2.2)Re-pairing атака (атака на пересопряжение)

Вулу и Шакеду удалось найти решение трудностей, связанных с атакой Вайтхауза. Был разработан второй тип атаки. Если процесс сопряжения уже начат и данные упущены, мы не сможем закончить атаку. Но был найден выход. Нужно заставить устройства заново инициировать процесс сопряжения (отсюда и название). Данная атака позволяет в любой момент начать вышеописанную pairing атаку.

Рассмотрим следующую  ситуацию. Допустим, что устройства уже успели связаться, сохранили  ключ Kab и приступили к Mutual authentication. От нас требуется заставить устройства заново начать pairing. Всего было предложено три метода атаки на пересопряжение, причём все из них зависимы от качества реализации bluetooth-ядра конкретного устройства. Ниже приведены методы в порядке убывания эффективности:

За pairing следует фаза аутентификации. Master-устройство отсылает AU_RAND и ждёт в ответ SRES. В стандарте декларирована возможность потери ключа связи. В таком случае slave посылает «LMP_not_accepted», сообщая master об утере ключа. Поэтому основная цель злоумышленника — отследить момент отправки AU_RAND master-устройством и в ответ внедрить пакет содержащий LMP_not_accepted. Реакцией master будет реинициализация процесса pairing. Причём это приведёт к аннулированию ключа связи на обоих устройствах.

Если успеть отправить IN_RAND slave-устройству непосредственно  перед отправкой master-устройством  величины AU_RAND, то slave будет уверен, что на стороне master утерян ключ связи. Это опять же приведёт к процессу реинициализации сопряжения, но уже инициатором будет slave.

Злоумышленник ожидает отправки master-устройством AU_RAND и отправляет в ответ случайно сгенерированный SRES. Попытка аутентификации провалена. Далее следует череда повторных попыток аутентификации(количество зависит от особенностей реализации устройств). При условии, что злоумышленник продолжает вводить master-устройство в заблуждение, вскоре (по счётчику неудачных попыток) устройствами будет принято решение о реинициализации сопряжения.

(Как видно,  все эти атаки требуют отправки  нужных сообщений в нужный  момент времени. Стандартные устройства, доступные в продаже, почти со 100 % вероятностью не подойдут для этих целей.)

Использовав любой из этих методов, злоумышленник может приступить к базовой атаке на сопряжение. Таким образом, имея в арсенале эти две атаки, злоумышленник может беспрепятственно похитить PIN-код. Далее имея PIN-код он сможет установить соединение с любым из этих устройств. И стоит учесть, что в большинстве устройств безопасность на уровне служб, доступных через bluetooth, не обеспечивается на должном уровне. Большинство разработчиков делает ставку именно на безопасность установления сопряжения. Поэтому последствия действий злоумышленника могут быть различными: от кражи записной книжки телефона до установления исходящего вызова с телефона жертвы и использования его как прослушивающего устройства.

Эти методы описывают, как принудить устройства «забыть» link key, что само по себе ведёт к повторному pairing’у, а значит, злоумышленник может подслушать весь процесс с самого начала, перехватить все важные сообщения и подобрать PIN. 
 
 

7.3)Оценка времени подбора PIN-кода

В протоколе  Bluetooth активно используются алгоритмы E22, E21, E1, основанные на шифре SAFER+. То, что уязвимость относится к критическим, подтвердил Брюс Шнайер (Bruce Schneier). Подбор PIN’a на практике прекрасно работает. Ниже приведены результаты полученные на Pentium IV HT на 3 ГГц:

Длина (знаков) Время (сек)

4 0,063

5 0,75

6 7,609 

Конкретные реализации вышеописанных атак могут работать с различной скоростью. Способов оптимизации множество: особые настройки  компилятора, различные реализации циклов, условий и арифметических операций. Авишай Вул (Avishai Wool) и Янив Шакед (Yaniv Shaked) совершили прорыв, найдя способ сократить время перебора PIN-кода в разы. Эта оптимизация выходит за рамки данной статьи, но, стоит отметить, что речь идёт об оптимизации базовых алгоритмов стека bluetooth. В свете современных технологий (в частности nVidia CUDA) результаты могли быть ещё лучше. 

Увеличение длины PIN-кода не является панацеей. Только сопряжение устройств в безопасном месте  может частично защитить от описанных  атак. Пример — bluetooth гарнитура или автомобильный handsfree. Инициализация связи (при включении) с данными устройствами может происходить многократно в течение дня, и не всегда у пользователя есть возможность находиться при этом в защищённом месте. Впрочем, атаки подобного вида не будут слишком популярны, по крайней мере, пока не будет реализовано доступных аппаратных средств и универсальных программных пакетов.

8)Применение 

Hardware

Радиус  работы устройств BT2 не превышает 15 метров, для BT1 до 100 м (класс А). Эти числа  декларируются стандартом для прямой видимости, в реальности не стоит  ожидать работу на расстоянии более 10-20 метров. Такого дальнодействия недостаточно для эффективного применения атак на практике. Поэтому, ещё до детальной  проработки алгоритмов атаки, на Defcon-2004 публике была представлена антенна-винтовка BlueSniper, разработанная Джонном Херингтоном (John Herington). Устройство подключается к портативному устройству — ноутбуку/КПК и имеет достаточную направленность и мощность (эффективная работа до 1,5 км).