Aanval op ble-apparaten laat aanvaller onbeveiligde verbinding overnemen

Beveiligingsonderzoeker Damien Cauquil heeft op Def Con een aanval getoond waarmee hij een onbeveiligde verbinding tussen twee bluetooth low energy-apparaten kon overnemen. Deze methode werkt volgens hem op alle versies van ble.

Cauquil vertelde dat hij de mogelijkheid van zijn aanval ontdekte toen hij de bluetooth-specificaties aan het doornemen was in het kader van het schrijven van nieuwe software. Hij ontdekte een functie genaamd supervision timeout, waarbij de verbinding tussen twee apparaten, bijvoorbeeld een telefoon en een smartwatch, na verloop van tijd verbroken wordt als er geen geldige pakketten meer tussen de apparaten worden uitgewisseld. Die functie wordt zowel gebruikt bij het centrale apparaat, in dit voorbeeld de smartphone, en het randapparaat.

Hij wist de aanwezigheid van deze mogelijkheid om te zetten in een aanval, door specifieke pakketten die door het randapparaat worden verstuurd te blokkeren door middel van jamming. Op een gegeven moment valt dan de verbinding uit vanwege de van tevoren bepaalde time-out. Vervolgens kon hij zelf verbinding maken met het randapparaat en zo de verbinding overnemen. Volgens de onderzoeker moet een aanvaller zich wel binnen bereik van het apparaat bevinden, op een maximale afstand van ongeveer vijf meter. In de toekomst zou deze afstand mogelijk nog groter kunnen worden door verbeteringen binnen bluetooth.

Zijn aanval op de kwetsbaarheid, aangeduid met CVE-2018-7252, is mogelijk bij versies 4, 4.1, 4.2 en 5 van ble. Hij heeft zijn aanval Btlejack genoemd. Er zijn wel tegenmaatregelen te nemen, zoals het gebruikmaken van een beveiligde bluetoothverbinding of het verifiëren van verkeer op applicatieniveau. Dit zou echter aan fabrikanten zijn om te implementeren. Hij demonstreerde zijn aanval op een drone en op een seksspeeltje.

Voor de aanval gebruikte hij zelfontwikkelde software, die eveneens de naam Btlejack draagt en op GitHub te vinden is. Ook deelde hij de hardware die hij voor de aanval gebruikte. Die bestond uit vier micro:bits die met behulp van een ClusterHat v2 waren gegroepeerd in een cluster.

ble-aanval — Illustratie van het teweegbrengen van een timeout

Reacties (24)

cavey 13 augustus 2018 06:26

Dit is zeker wel interessant. De drone en sextoy is dan weer een wat inspiratieloos voorbeeld, maar als je bedenkt dat er een hoop sensors via BLE kunnen werken.

Hier een voorbeeld van wat DIY werk voor domotica:

https://www.instructables...h-Small-Wireless-Sensors/

Als je dan met een random geplaatste hub (social engineering) een huis vol sensors kan overnemen en kan doen alsof alle ramen en deuren dichtzitten terwijl je gaat inbreken.

Dan is de oplossing wellicht wel “gebruik een beveiligde verbinding”, maar zeg eerlijk: hoeveel fabrikanten hebben beveiliging in het achterhoofd zitten die net beginnen met “smart devices”?

Raymond

12 augustus 2018 11:10

Hoe ik ook mn best doe, ik zie geen praktisch scenario waarbij je binnen 5m afstand van een sexspeeltje bent, je het verkeer naar de smartphone van de gebruik(st)er jammed en dan na de time-out (die volgens mij minuten tot uren kan duren) de controle over het speeltje kan overnemen.

Volgens mij kan je dan beter de betreffende kamer binnenlopen en aanbieden om het even over te nemen. Net als in de film

Volgens mij is dit gewoon een te accepteren consequentie van het gebruiken van een onbeveiligde verbinding.

Verwijderd @Raymond • 12 augustus 2018 11:38

Wel weer jammer dat het sexspeeltje er uit wordt gepikt om een punt te maken en de drone volledig buiten beschouwing wordt gelaten. Er zijn zo verschrikkelijk veel toepassingen van BT/BLE dat dit wel degelijk een serieus probleem is.
Net als met de gemiddelde (china) IOT meuk: doet iets, maar enige vorm van beveiliging is niet aanwezig. Dit soort rommel (of het nu om hardware gaat of om protocollen) zou gewoon niet gebruikt moeten worden.

Cerberus_tm

@Verwijderd • 12 augustus 2018 13:04

Je laat b.v. een drone langs de ramen van een flat vliegen totdat hij een sekspeeltje detecteert. Dan even blijven hangen om contact te maken en het speeltje in overdrive / oververhitting te brengen.

i-chat @Raymond • 12 augustus 2018 12:35

ik wel, jij hoeft namelijk helemaal niet binnen die afstand te zijn, alleen jouw zender hoeft dat maar, kortom: je plaats een of ander hub-devices die ble-over-lte ondersteunt en je berijk is ineens ver-1000-voudigd.

Hoe ik ook mn best doe, ik zie geen praktisch scenario waarbij je binnen 5m afstand van een sexspeeltje bent, je het verkeer naar de smartphone van de gebruik(st)er jammed en dan na de time-out (die volgens mij minuten tot uren kan duren) de controle over het speeltje kan overnemen.

Volgens mij kan je dan beter de betreffende kamer binnenlopen en aanbieden om het even over te nemen. Net als in de film

Volgens mij is dit gewoon een te accepteren consequentie van het gebruiken van een onbeveiligde verbinding.

SuperDre @i-chat • 12 augustus 2018 20:38

En het nut is? Dan moet er dus al zeker een onbeveiligde verbinding gebruikt worden, en je moet dus eeten wat voor device het is.

supersnathan94 @SuperDre • 12 augustus 2018 22:08

Het mooie van BT appratuur is dat het vanuit het externe apparaatje verkondigd dat het aan staat en “ready to pair” is. Met een ontvanger kan je dus binnen no timeeen hele berg van die apparaatjes er uit vissen.

Werd voeger ook gebruikt in oa winkelcentra om malware te verspreiden.

Jerie

@Raymond • 12 augustus 2018 12:49

Hoe ik ook mn best doe, ik zie geen praktisch scenario waarbij je binnen 5m afstand van een sexspeeltje bent

Het zijn voorbeelden. Dit voorbeeld is gekozen omdat het intiem is. Bovendien zat scenarios waar de slaapkamer van een buurman/buurvrouw binnen 5 meter afstand van jouw woning of zelfs slaapkamer. Hoe kom je trouwens aan die 5 meter?

Wat betreft andere apparaten. Mijn smartwatch gebruikt BLE (en enkel BLE). En die gebruik ik ook als ik in de trein zit. Zat mensen die op het station en in de trein binnen 5 meter afstand zitten.

SuperDre @Jerie • 12 augustus 2018 20:39

Ja, maar dan moet je dus eerst het signaal jammen, en dan overnemen, en waarvoor?

Jerie

@SuperDre • 12 augustus 2018 21:08

Wel, op mijn smartwatch zou ik WhatsAppjes kunnen ontvangen. Die zijn dus uit te lezen. Dat het voor iets als een HRM niet interessant is, fair enough.

SuperDre @Jerie • 13 augustus 2018 11:20

Ja, maar men moet toch wel een hoop moeite doen om die whatsappjes te ontvangen (en vraag me af of die misschien toch niet via de beveiligde variant gaan).

cdwave @Jerie • 13 augustus 2018 12:01

Ik denk dat 5 meter het bereik van de "jammer" was.

Ik heb een BT luidsprekertje van de a.c.tion dat het op ruim 15 meter van de zender nog prima doet. Moet een keer de tuin in lopen om te kijken hoe ver hij eigenlijk komt.

Wat je smartwatch betreft, die staat niet in de "ready to pair" state maar is al aan je telefoon gepaird en houdt dus wijselijk zijn mond. Ik hoop overigens wel dat ze voor de smartwatch toch iets meer aan authenticatie (en encryptie) doen dan alleen maar vertrouwen op de BT pairing.

Zwatelaar @Raymond • 12 augustus 2018 11:33

Praktische nut zou kunnen zijn om het sexspeeltje juist zo te manipuleren dat op het moment-suprème de setting op soft te zetten (of juist off). Rete irritant.

Sorcerer8472 @Zwatelaar • 12 augustus 2018 11:43

Zo lang er geen EEG-modules bij die dingen zitten om te meten hoe dichtbij je bij het hoogtepunt bent, is dat nog best moeilijk timen

Als je vlakbij een raam/straatzijde slaapt dan kan het trouwens wel, maar het is wel echt gekkenwerk en praktisch gezien vraag ik me af wat het gevaar is.

Bij beveiligde verbindingen werkt dit weer niet begrijp ik verder, dus de oplossing lijkt me vrij duidelijk

cdwave @Raymond • 12 augustus 2018 11:42

Criminelen zijn altijd heel creatief in het verzinnen van manieren om geld te verdienen aan ogenschijnlijk futiele lekken. Al is het maar dat ze kunnen aanbellen en zeggen dan ze van Eneco zijn en komen kijken waarom de slimme thermostaat de laatste tijd zo raar doet.

djack @stresstak • 12 augustus 2018 17:14

God je hebt gelijk. Maar een klein aantal mensen zullen er wel intrappen hoor. Net zoals ze dat spam en vissen dat doen...

ANdrode

12 augustus 2018 10:48

Dit is een logische "feature" van het protocol die nu op een andere manier gebruikt wordt.

Het lijkt er op dat een aanvaller die radio signalen injectert/jamt niet in het aanvalsmodel is opgenomen. Daardoor valt dit dan volledig buiten de beveiliging – het wordt dan gewoonweg niet overwogen bij de analyse

wizzkizz @ANdrode • 12 augustus 2018 14:01

Of wel, maar dat er om andere redenen toch besloten wordt om de onbeveiligde verbinding in de specs op te blijven nemen. Ik zou me kunnen voorstellen dat dit gedaan is om compatibiliteit te behouden met al bestaande implementaties of om devices zonder scherm ook verbinding te kunnen laten maken.
In diezelfde specs staat ook de mitigatie, namelijk het gebruiken van een beveiligde BLE verbinding.

laserfreak 12 augustus 2018 13:03

Ik snap niet goed wat hier het probleem is. Het is een 'onbeveiligde verbinding' in de eerste plaats. Deze hack werkt niet met beveiligde verbindingen?

Zwatelaar 12 augustus 2018 11:30

Toen ik las over het sexspeeltje moest ik gelijk denken aan het Viagra-virus: die zet ook al je software om in hardware.

t_captain 12 augustus 2018 22:08

Ik mag hopen dat de meeste peripherals zoals smartwatches en headsets met een beveiligde verbinding werken?

itcouldbeanyone 12 augustus 2018 22:14

Wij hebben zelf een ble dongle ontwikkeld voor in een voertuig canbus systeem,
Maar als ik dit artikel zo lees hoef ik me geen zorgen te baren, je zal met jammen de verbinding kunnnen verstoren, maar zodra een ander apparaat verbinding gemaakt heeft wordt deze er direct uitgekickt omdat het protocol niet overeen komt.
Ik kan me goed voorstellen dat dit voor de meeste andere ble apparaten anders ligt

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (24)

Sorteer op:

Weergave: