漏洞预警|蓝牙漏洞允许对大量设备进行中间人攻击;Mandrake间谍平台利用Android设备

来源:上海控安
2020-05-25
2736





漏洞预警





蓝牙漏洞允许对大量设备进行中间人攻击 

研究人员发现了Bluetooth Classic中的安全漏洞,攻击者可以利用该漏洞欺骗已配对的设备:他们发现这些漏洞使攻击者可以将恶意设备插入已建立的Bluetooth配对中并伪装成受信任的端点,这使攻击者可以从其他设备捕获敏感数据。

研究人员在对超过28种不同的蓝牙芯片进行BIAS攻击(通过攻击30种不同的设备)测试后发现,这些漏洞从物联网(IoT)小工具到手机、到笔记本电脑的所有过程都可以进行蓝牙模拟攻击(BIAS)。尽管某些受影响的供应商可能给出了临时解决办法,但该漏洞尚未在蓝牙开发规范中进行修补。



影响版本

研究者已经测试赛普拉斯、高通、苹果、英特尔、三星和CSR的芯片,这些设备都容易受到BIAS攻击。


漏洞分析

问题在于规范中使用的配对/绑定协议。当两个蓝牙设备首次配对时,它们会交换一个持久的加密密钥(“长期密钥”),该密钥随后将会被存储,以便此后绑定端点并相互连接,而无需执行加密操作。为了使攻击成功,攻击设备必须位于易受攻击的蓝牙设备的无线范围内,该蓝牙设备之前已与攻击者的蓝牙地址建立了远程设备的绑定。

1、BIAS错误

启用配对后的连接是因为这些设备(我们叫它们为Alice和Bob)会进行后台检查,以确保它们都拥有长期密钥。这是使用Bluetooth规范中的Legacy Secure Connections或Secure Connections协议完成的,该协议验证了三件事:Alice的蓝牙地址,Bob的蓝牙地址和共享的长期密钥。

正如研究人员在周一发布的论文中所解释的那样,攻击者(我们称其为Charlie)可以更改其蓝牙地址来模仿Alice或Bob的地址(通过简单的监听来发现),但他无法证明长期密钥的所有权。” 研究人员解释说:“这是蓝牙身份验证保证背后的基本假设,并且该假设应该可以防止中间人攻击。”他们补充说:“两个程序都使用请求-响应协议对长期密钥进行身份验证,而程序的选择取决于Alice和Bob所支持的功能。该标准声称,这两个过程都可以保护安全的连接建立免受模拟攻击,因为不知道长期密钥的攻击者无法对请求做出正确的响应。”但是,他们发现,这些过程中存在一些错误,在进行配对连接时为BIAS游戏区打开了大门。问题包括:蓝牙安全连接的建立既未加密也未受完整性保护;旧版安全连接的建立不需要相互验证;蓝牙设备可以在基带寻呼后随时执行角色切换;并且使用安全连接配对的设备可以在建立安全连接期间使用旧版安全连接。

根据该论文,有几种可能的攻击情形,特别是对于使用较旧的传统安全连接进行绑定的设备对。例如,Charlie可以假装是Bob与Alice建立连接。Charlie向Alice发送请求,并收到根据地址和长期密钥计算得出的响应。该论文称:“由于蓝牙标准在建立安全连接时并没有相互强制使用传统的认证程序,因此Alice不必认证Charlie已知的长期密钥”。

另一个攻击场景涉及切换主角色和从角色。配对中的主机是请求连接的主机。当攻击者冒充关系的请求方时,上述攻击就会起作用。但是,它们还可以通过利用蓝牙的角色切换过程来恶意的冒充从设备。

“蓝牙使用主从媒体访问协议,以使主设备和从设备保持同步。该标准规定,在完成基带寻呼之后,可以随时切换主从角色。“这里存在问题,因为Charlie可以通过在启动单方身份验证过程之前启动角色切换,并成为主设备(验证者)来模拟从设备,然后无需进行身份验证即可完成安全连接。建立蓝牙的此功能从未在安全上下文中进行过调查,因此是一种全新的攻击技术。”

使用更新更强大的安全连接协议的设备也容易受到攻击,尤其是降级攻击。该论文解释说:“Charlie可以假装模拟设备(Alice或Bob)不支持安全连接,将与受害者的安全连接建立降级为传统安全连接。” “由于降级,Charlie和受害者使用旧式身份验证过程,而不是安全身份验证过程,Charlie可以绕过安全连接建立身份验证。”

2、KNOB连接

根据CERT的建议,BIAS攻击还可以与蓝牙密钥协商(KNOB)攻击结合使用,这将使攻击者可以完全访问配对的设备。

去年8月发现了KNOB。当第三方强迫两个或多个受害者以最少一个字节的熵达成一致时,就会发生这种情况。一旦熵降低,攻击者就可以暴力破解加密密钥,并使用它来解密通信。根据CERT的说法,这将允许用户“模拟蓝牙设备,在不拥有链接密钥的情况下完成身份验证,以低熵协商会话密钥,建立安全连接并对会话密钥进行暴力破解” 。攻击者可能会对加密密钥强度发起KNOB攻击,而无需通过注入攻击干预正在进行的配对过程。如果伴随的KNOB攻击成功,则攻击者可能会作为远程配对设备获得完全访问权限。如果KNOB攻击未成功,则攻击者将无法建立加密的链接,但仍可能会向主机显示经过了身份验证。


Mandrake间谍平台选择Android设备进行利用 


漏洞信息

安全研究人员发现了新的Mandrake间谍平台,并且对精心选择的Android设备进行进一步利用。

影响版本

Android


漏洞分析

Bitdefender在2020年初发现Mandrake时,间谍平台正在对Android设备上的加密货币钱包应用程序、移动银行程序和其他金融软件进行网络钓鱼攻击。并且为了能够攻击成功易受攻击的蓝牙设备,该安全公司随后对其进行分析,发现该威胁自2016年以来一直在传播。

分析中,Bitdefender发现间谍平台仅选择少数Android设备进行进一步利用。然后,它使用操纵策略,包括发送一系列高权限请求并伪装成最终用户,以感染选定的设备。攻击者获取到高权限,足够使攻击者窃取凭据,发现数据泄露以及对受感染设备进行第二次网络钓鱼攻击。

近年来,该威胁并非是唯一一个针对Android设备的威胁,Mandrake并不是针对Android用户的唯一复杂威胁。早在2018年,Wandera就发现名为“ RedDrop”的Android恶意软件,该软件使用复杂的技术从受感染的设备中收集大量信息。

在2019年3月,安全无国界组织发现了“间谍活动”,这是一个Android间谍软件平台,主要针对意大利用户,该平台具有监视和数据收集功能。在2020年4月,卡巴斯基实验室发现“ PhantomLance”操作与OceanLotus集团进行的其他攻击活动之间有相似线索。



本周安全态势分析


本周发生的事件有蓝牙漏洞允许对大量设备进行中间人攻击和Mandrake间谍平台选择Android设备进行利用。

1
蓝牙漏洞允许对大量设备进行中间人攻击,攻击者可以使用多种方式来攻击蓝牙设备。当两个蓝牙设备首次配对时,它们会交换一个持久的加密密钥(“长期密钥”),该密钥随后将会被存储,以便此后绑定端点并相互连接,而无需执行加密操作,该操作会致使攻击者去模仿已建立连接的蓝牙设备,并对其进行发起连接请求进行攻击。当第三方强迫两个或多个受害者以最少一个字节的熵达成一致时,就会发生这种情况。一旦熵降低,攻击者就可以暴力破解加密密钥。为了使攻击成功,攻击设备必须位于易受攻击的蓝牙设备的无线范围内,并使用它来解密通信。尽管有些涉及厂商对该漏洞进行了临时修复,但是尚未在开发规范中修复该漏洞。
2
Mandrake间谍平台选择Android设备进行利用,Bitdefender在2020年初发现Mandrake时,间谍平台正在对Android设备上的加密货币钱包应用程序、移动银行程序和其他金融软件进行网络钓鱼攻击,该组织对其进行了分析,发现该威胁早在2016年就已经在威胁着Android设备,Mandrake虽然选择了少量的Android用户,但是他们使用操纵策略包括负责的权限请求命令,以获取到足够的权限使攻击者能够窃取凭据、泄露数据以及对受感染设备进行第二次网络钓鱼攻击。

关安全防护建议:
  • 保防病毒软件为最新版本。
  • 索当前网络环境中是否存在IOC相关特征。
  • 防火墙,IDS,Web网关,路由器或其他基于外围的设备处阻止所有基于URL和IP的IOC。
  • 时更新应用程序和操作系统的补丁。
  • 惕电子邮件中的链接。




收藏
点赞
2000