转载

使用btproxy对蓝牙设备进行安全分析

最近我比较热衷调查新技术的安全性能,尤其是“IoT”领域的新设备,比如使用蓝牙进行连接的设备。熟悉蓝牙连接方式之后,我就想用明文的方式来看看它的通信数据,有可能的话最好还能修改下其中的数据。类似于现有的网络流量工具,这里并没有方便快捷的办法实现它。

我写的这个工具需要1个或者2个蓝牙适配器作为其他两个设备之间连接的代理,代理连接可以查探明文数据流量,以及实时修改的能力。

安装

我已经将该项目发布到 github 上,目前该工具仅仅只能在Linux 或者 OS X下进行运行,且其依赖于BlueZ。

安装依赖包: 

sudo apt-get install bluez bluez-utils bluez-tools libbluetooth-dev python-dev

安装btproxy:

git clone https://github.com/conorpp/btproxy cd btproxy sudo python setup.py install

在Pebble Watch上运行

为了运行它,你需要两个蓝牙设备进行作为代理(蓝牙电量低,不会运行)

为此,我选择使用我的手机(Nexus 6)以及Pebble Watch。

接着我打开所有设备的可发现蓝牙设备。我的Nexus 6跑的是Android L,这需要到设置中去打开蓝牙选项。同样的Pebble watch,也需要到设置菜单中去打开蓝牙。设置完成之后,我们就可以运行代理了。

我使用hcitool来扫描设备,因此我获取到设备的MAC地址

$ hcitool scan
Scanning ...          77:88:99:AA:BB:CC   Pebble 9FAA          11:22:33:44:55:66   conorpp's Nexus 6

接着,运行蓝牙代理: 

sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC

注意,我先输入的是手机的MAC地址。这一点十分重要,因为手机是作为连接中的主设备,手表作为其从属设备。主/从设备都会使用蓝牙协议,直到主设备发出请求,从属设备通常保持待机状态。并且主设备可以连接到多台设备,而从属设备仅仅智能连接一台设备。

使用btproxy对蓝牙设备进行安全分析

M=Master(主设备) S=Slave(从属设备)

现在我们就来看看代理的输出信息 

$ sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC
Running proxy on master  11:22:33:44:55:66  and slave  77:88:99:AA:BB:CC  Using shared adapter  Slave adapter:  hci0  Master adapter:  hci0  Looking up info on slave (77:88:99:AA:BB:CC)  Looking up info on master (11:22:33:44:55:66)  Spoofing master name as  Pebble 9FAA_bt proxy Running inquiry scan  paired  Spoofing master name as  Pebble 9FAA_btproxy  Proxy listening for connections for "Serial Port Server Port 1"  Proxy listening for connections for "Audio/Video Remote Control"  Attempting connections with 2 services on slave  Connected to service "Audio/Video Remote Control"  Connected to service "Serial Port Server Port 1"  Now you're free to connect to "Pebble 9FAA_btproxy" from master device.

代理会搜寻设备名称和类,所以其可以将设备名称和类复制到使用的蓝牙适配器中。在本例中,因为只有一个蓝牙适配器,所以只会复制从属设备的属性。

途中,它会向我的Pebble watch发出一个蓝牙适配请求。接受请求之后,代理会打开每个手表设备的蓝牙接口,然后连接到手机。代理连接到手表中的蓝牙之后,我将主设备(Nexus 6)连接到代理设备(Pebble 9FAA_btproxy)

使用btproxy对蓝牙设备进行安全分析

使用btproxy对蓝牙设备进行安全分析

btproxy输出

Accepted connection from  ('11:22:33:44:55:66', 1) >>   b'/x00/x1e/x001/x01/x1b/x07/xe0/xd9/xcb/x89WK/xf7/x9dB5/xbfG/xca/xad/xfe/x01/x01/x00/x00/x00/x02/x04/x00/x01/x00/x00/x00/x00/x01/x00/x11/x00'  <<  b'/x00/x11/x00/x11/x01/xff/xff/xff/xff/x00/x00/x00/x00/x00/x00/x00/x02/x02/x02/x04/x00'  <<  b'/x00/x01/x00/x10/x00'  >>  b'/x00/x96/x00/x10/x01U/t/xb4/xfbv2.9.1/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x0054664bd/x00/x00/x06/x01R"T_v1.5.5/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x001c16275/x00/x01/x06/x01R/xe2/xf82102V1/x00/x00/x00/x00Q206134E01L3/xaa/x9f/xa6/xe9/x17/x00&e/x8a/x03U/t/xb4/xfben_US/x00/x00/x01XXXXXXX/x00'  <<  b'/x00/x0b/x13/x89/x00/tmfg_color'  >>  b'/x00/x06/x13/x89/x01/x04/x00/x00/x00/x07'  <<  b'/x00/x01/x17p/x01'  >>  b'/x00/t/x17p/x01/x00/x00/x00/x08/x00/x00/x00/x00'  <<  b'/x00/x05/x00/x0b/x02U/xec^4'

这里有使用到两个协议:SPP 和 Pebble,发送一个明文通知。

我给自己发送一条明文通知之后获取到的日志记录:

<<  b'/x00F/x0b/xc2/x00/x01/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00K_/xecU/x01/x02/x03/x01/x0e/x00(123) 456-6789/x03/x0c/x00Hello Pebble/xff/x05/x00/xfe/x05/x00/x01/x03/x01/x01/x05/x00Reply'

你可以看到电话号码,以及通知内容,"Hello Pebble".

我发送一条谷歌环聊信息后截获的包:

<<  b'/x00b/x0b/xc2/x00/x01/x00/x00/x00/x00/x01/x00/x00/x00/x00/x00/x00/x00/xf2_/xecU/x01/x02/x02/x01/r/x00Conor Patrick/x03/x1a/x00Sent a message on Hangouts/x01/x02/x01/x01/r/x00Open on phone/x02/x04/x01/x01/x07/x00Dismiss'

你可以看到其发送了两个选项:"Open on phone" 以及 "Dismiss".

使用Python内联脚本可以实时修改包中的任何内容。

例如: 

# replace.py  # This replaces the options in a Pebble notification packet  def master_cb(req):   req = req.replace(b'Open on phone', b'Hi welcome to')      req = req.replace(b'Dismiss', b'Btproxy')      print( '<< ', repr(req))      return req   def slave_cb(res):      print('>> ', repr(res))      return res

当主设备(Nexus 6)向从属设备(Pebble Watch)发送一个数据包时,会调用master_cb,反之则调用slave_cb.

重启btproxy:

sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC -s replace.py

然后发送一个通知:

使用btproxy对蓝牙设备进行安全分析

结论

使用该工具的目的是为了分析,同时也可用于如今越来越流行的物联网设备安全检测。到目前为止,我使用其更新固件、证书/凭证以及改变标识符,除非有方法实现设备强制蓝牙进行适配,并连接上代理,否则它不适合应用在实际的攻击中。或许在未来会有大牛攻破这个难题,但是现在这种攻击还仅仅属于理想状态的测试。

* 参考来源: conorpp ,译者/鸢尾 转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS springboot-demo Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 Spring Boot集成Quartz快速入门Demo
  2. 2 Spring Boot集成Mybatis Plus快速入门Demo
  3. 3 Spring Boot集成zipkin快速入门Demo
  4. 4 能用365块大洋去解决的事,千万不要用时间
  5. 5 Spring Boot集成atomikos快速入门Demo
  6. 6 Spring Boot集成fastdfs快速入门Demo
  7. 7 Spring Boot集成Https快速入门Demo
  8. 8 Spring Boot集成easypoi快速入门Demo
  9. 9 Spring Boot集成webflux快速入门Demo
  10. 10 Spring Boot集成Graphql快速入门Demo
网站信息
  • 文章总数:155,461 篇
  • 文件总数:468,742 个
  • 标签总数:2,265 个
  • 分类总数:90 个
  • 留言数量:2,542 条
  • 在线人数:640 人
  • 运行天数:4,196天
  • 最后更新:2024年04月23日12点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG