Een kwetsbaarheid die op 28 november 2023 is gepubliceerd onder CVE-2023-24023, blijkt vrijwel alle Bluetooth-apparaten te treffen. Dit werd ontdekt door de Franse assistent-professor en onderzoeker van Eurecom, Daniele Antonioli.
Het gaat om een zogenaamde man-in-the-middleaanval, waarbij een aanvaller in de buurt moet zijn van twee apparaten die via Bluetooth proberen verbinding te maken, of die al verbonden zijn. De aanval maakt gebruik van een eigenschap van Bluetooth die diep in de architectuur van dit protocol opzettelijk is verweven. Als de aanvaller zich voordoet als één van de twee verbonden apparaten door deze te spoofen, kan deze vervolgens aan het andere apparaat vragen om de encryptiesterkte te verlagen.
Om Bluetooth-apparaten van verschillende generaties eenvoudig te laten samenwerken, is dit een bedoelde mogelijkheid. Hierdoor zal de verbinding de best mogelijke encryptie gebruiken, waarbij het apparaat met de minste kunde bepaalt welke encryptiesterkte wordt gebruikt.
Een aanvaller die zich voordoet als één van de twee apparaten kan om die reden het andere apparaat vertellen dat de encryptie minder veilig moet zijn, omdat het zogenaamd zelf niet beter kan. Dit zal vervolgens worden opgevolgd. Hierna kan de aanvaller stoppen met uitzenden en overschakelen op enkel nog (af)luisteren. Het verkeer tussen de twee apparaten zal nu blijven verlopen met een zwakkere encryptie.
Nu deze encryptie zwakker is, kan de aanvaller krachtige moderne hardware en software gebruiken om deze communicatie te kraken, terwijl de aanvaller de communicatie tussen beide apparaten blijft onderscheppen.
Deze aanval kan worden uitgevoerd sinds Bluetooth-versie 4.2 en is mogelijk tot aan de nieuwste versie van Bluetooth, versie 5.4. Omdat deze aanval een mogelijkheid gebruikt die opzettelijk is ingebouwd in Bluetooth, is een oplossing vrijwel onmogelijk.
Mogelijk kan het gebruik van "Secure Connections," een beveiligingsfeature van Bluetooth, enige verlichting bieden, zoals de ontdekker van het lek aangeeft. Verder kan een gebruiker van Bluetooth-apparaten weinig doen tegen deze aanval.