必赢亚洲手机app下载


挑战日再次100天/31 靴子落地与幸运

苹果电脑获取Android Studio的揭晓版SHA1和出版SHA1

[无线安全]玩转无线电——不安全之蓝牙锁

0x00 前言

趁物联网科技之飞速发展, 各类IOT设备都经下无线技术BTLE; ZigBee;
WIFI; 6LoWPAN等来贯彻万物互联.
但随之而来的安全及个人用户隐私问题啊更为敏感.  汪汪将于当时首文章被享用一个低功耗蓝牙智能锁之解析案例.
希望能够针对IOT安全研究由及抛砖引玉作用.

 

苹果电脑 1

 

BTLE 俗称低功耗蓝牙, 比传统的天蓝牙再能说了算功耗和成本. 因此成这 IOT
产品遭使用特别累之技术. 比如小米智能手环; 飞利浦之HUE
智能灯,  甚至还发出羞羞的蛋蛋系列都是透过BTLE
来形成交接的.  据说BTLE设备的年景发生货量在过去15年内长了1000倍,已经达了30亿的程度,在未来之4~5年内还用大增到50亿.

 

苹果电脑 2

 

可是更流行的事物, 黑客对其为愈有兴趣.
通过简单的物色就可窥见众多有关BTLE 设备安全隐患的文章. 其中编号吧
CVE-2013-4866 的硬编码PIN漏洞堪称一绝. 因为她是第一独关于智能马桶的漏洞.
感兴趣之爱侣可自动了解相关信息.

 

苹果电脑 3

 

0x01 BTLE 基础

微朋友或会见看就是妻子的智能灯或者手环被私自了,
并无见面招致什么特别之影响.  可是有同样类蓝牙智能装备的平安题材而就是从未有过这样简单了. 不过在进入正题之前大家先来打听一下BTLE
吧.****

 

实际上关于BTLE 的根底介绍网上曾来广大了.
这里只是简短介绍下想使拓展测试的画龙点睛知识. BTLE 设备运行在2.4ghz. 分为40
单频道, 每个频道 2Mhz 带宽.  其中频道 37; 38; 39 为广播频道.
剩余的37个频段也数据频道.

 

苹果电脑 4

 

BTLE 定义使用了3 栽匹配模式. JustWorks; 6-digit PIN **和 **Out of
band. 其中JustWorks 默认使用000000作为PIN来好匹配.
这样的筹划给我不带输入方式的设备提供了不畏利.
但又被有人数还可以任意为那配合配. 我们的目标 DOG&BONE
智能锁使用的正是此方式.

以配合成功后, 我们尽管可由此一个特殊之UUID对 Characteristics
进行读写操作. 从而实现不同之职能, 比如开灯/关灯等. 在格式上UUID
又分为Bluetooth Special Interest Group (SIG) 规范之 16bit 公有UUID (e.g.
0000180F-0000-1000-8000-00805F9B34FB) 和 厂商于定义之 128 bit 私有UUID
(e.g. 00001524-1212-EFDE-1523-785FEABCD123)

 

苹果电脑 5

 

以和BTLE 交互的硬件方面可说非常简单. 仅仅一个有利的BTLE 蓝牙Dongle
即可. 同时大部分之无绳电话机仍IPHONE 自带BTLE功能.
如果想多收发信号范围之言语还好透过外接天线的主意上目的.

 

苹果电脑 6

苹果电脑 7

苹果电脑 8

 

软件上面的精选呢异常之多. 如果是IPHONE 用户来说, 个人推举 LightBlue.
当然想只要深深的话, 则必须使用Linux下的开源软件, 比如hcitool or Gatttool.
尤其是gatttool 提供了一个异常好的交互界面.

 

 

苹果电脑 9

苹果电脑 10

 

0x02 BTLE 智能锁

市面上具备BTLE功能的安防产品种类繁多, 其中又因为智能锁吧主.
但是当同样放缓安全产品的自身的安性能又如何呢.
在DEFCON24达成生平安研究员爆出数款蓝牙智能锁之安全漏洞.
而漏洞的类型五花八门. 从公开密码到重放攻击, 甚至还闹同等款款门锁在Fuzzing
攻击下完全失效, 导致门户特别开.

 

苹果电脑 11

 

实际智能锁之架构非常简单. 通过手机APP 作为中转跟云服务器交互,
用户还足以自地任何一个角落打开锁. 这是平常门锁无法比较之.

 

苹果电脑 12

 

今日之栋梁DOG&BONE 蓝牙智能锁正式登场了. DOG&BONE
智能锁是由于同下位于英国的号生产. 目前于市场上售价也100 $.
但每当逆向了她们之手机APP后, 发现确实的开发者应该是如出一辙名为华人.
就如大部分厂商那样, 他们吗叫做自己的智能锁安全性能最好高.
适当的宣传是足以理解的, 但这家公司像有些过了头.
简单来说即使是叫此锁拥有银行级别之平安性能,
甚至要统筹出苹果电脑的传奇硬件黑客Steve Wozniak 亲自出马才行.
但真实情况是无是的确有那么安全啊? 让咱们来一同测试下吧.

 

苹果电脑 13

苹果电脑 14

0x03 攻击准备

当攻击起始阶段最重大之尽管是新闻收集,
掌握目标尽可能多之音对就的刻骨铭心钻研重大. 就DOG&BONE 锁而言,
我们得应用LightBLUE 与该相, 得到一些骨干信息开始.

 

苹果电脑 15

 

如图所示: 我们得以解DOG&BONE的蓝牙地址; 使用了Nordic的天蓝牙芯片.
且提供了何种services, 这些services 的UUID 又是啊些.

 

苹果电脑 16

 

爱用GOOGLE 搜索可以窥见除此之外官方文档之外的广大信息.
这里我们发现网上曾发其它研究人员针对其开展解剖.
方便我们了解了彼内部结构信息. 从而更加认同了DOG&BONE 使用的凡Nordic
NRF51822 芯片.

自打官发表的APP 我们可了解及DOG&BONE都提供了怎样功能. DOG&BONE 的APP
同时产生IOS 和Android 2种版本, 条件允许的言辞可以本着2栽版本分别测试分析.
DOG&BONE APP 可以天天查看锁的电池容量等基本信息. 我们可由此 tap to
unlock 和安装passcodes 等方法来开辟智能锁. 并且可以共享为其他用户,
并限制其动的次数与时间. 当设备提供的力量越来越多, 潜在的攻击点也就增长.
随后我们见面对这些力量更深入.

 

苹果电脑 17

苹果电脑 18

以及大多数Android app 一样, APP本身并未加固. 所以我们可轻易通过JD-GUI
得到JAVA Byte codes.
从代码中我们可以窥见到DOG&BONE的劳作体制同动用了何种认证方式.
一些根本的音呢又暴露出来. 比如UUID 和该相应的功能.

 

苹果电脑 19

 

不仅如此DOG&BONE APP虽然使了SSL 来加密该与讲服务器的彼此数据,
但是并不曾因此启用Certs-Pinning.
所以我们以可以通过中间人之计抓到持有的并行数据包. 并针对性该更分析.
常用之MitM工具包括 MitMProxy 和BurpSuit Pro 等.

 

苹果电脑 20

 

一派DOG&BONE使用蓝牙来和智能锁交互.
详细的蓝牙交互数据包将大大缩短我们的分析的时间. 幸运的是于Android 4.4
开始即提供了Bluetooth HCI Logs 的功能. 我们可拿收获的btsnoop_hci.log
导入Wireshark 中进行分析.

 

苹果电脑 21

 

当条分缕析后, 我们得识破DOG&BONE 是透过对性能为lock_password的UUID
写副对的解锁密码可开锁. 而这解锁密码则是由服务端产生的,
并发送至锁与APP里保存. 但是这密码只有当用户用锁与温馨之账号取消关联,
再又绑定时才见面更新.
那么问题来了见面发出用户每起平潮锁就拿锁与协调的账号取消关联呢?

 

苹果电脑 22

 

透过MitM抓包可以落时的开锁密码. 这时可以就此BTLE dongle
将密码写副lock_password 的UUID 来验证密码的正确.
但请留心时我们只是起友好之无绳电话机获取开锁密码. 如果想截取别人的开锁密码,
我们便用知道什么样从空中抓包..

Unlock DogBone Lock (视频地址)

http://v.qq.com/page/n/2/1/n0519c7d021.html

0x04 攻击 – RF无线层

哪自半空抓取蓝牙包?这里要提及Michael Ossmann 设计的Ubertooth.
这可说凡是蓝牙安全研究的瑞士军刀. 具体使用办法可运动至该官网.
但不能不提醒的凡如果欲保证好抓及蓝牙包, 我们要采用3 独Ubertooth
来监控 37 38 39 这3 个广播频道.

 

 

苹果电脑 23

 

当取足够的多寡包后, 我们好透过 CrackLE 来破解出BTLE 配对之密码.
但是盖DOG&BONE 使用的凡JustWorks 配对模式.
所以其实是完全可以大概这步的.

 

苹果电脑 24

 

使苏的Ubertooth 价格过强吧, 我们呢得以据此基于CC2540 芯片的TI-SmartRF
Sniffer. 和那自带的SmartRF 软件. 而且测试发现抓包效果使比Ubertooth 好些.

 

苹果电脑 25

 

0x05 攻击 – APP 运用层

世家还记DOG&BONE还有一个共享锁的功力么. 在一道享给其他用户的又,
还好界定其采用的次数与时间. 那么就之间到底有了呀,
是否可绕了限制呢. 这里我们通过BurpSuit Pro 来平等探讨竟.

实在共享过程格外粗略, 当锁的主人决定共享于某用户. 服务端会发送邀请token
给此用户

 

苹果电脑 26

当此用户接受了邀请. 服务器就会将锁的ID 和共享类型等信息返回到用户之账号.
这里的共享类型涵盖了次数及时范围信息.

 

苹果电脑 27

 

倘当以此用户想起来锁经常, 客户端便会发送请求到服务端.
如果一切顺利服务端会将目前之解锁密码返回. 从而达到开锁的目的.

 

苹果电脑 28

 

但是万一用户的次数用了了, 此时复发送开锁请求. 服务端返回错误信息.

 

苹果电脑 29

然而坐整个过程还以咱们的控之中,
所以我们可以以劳动端的归来信息转换成自由我们纪念要的信息.
比如提高共享次数等. 以下是绕了共享次数限制的视频演示.

Bypass DogBone lock sharing limits (视频地址)

 

http://v.qq.com/page/y/3/v/y05190ihb3v.html

 

0X06 攻击 – 物理机械层

以上我们透过逆向应用程序, 蓝牙数据包嗅探等办法搞定了Dog&Bone
智能锁的安全防御. 但实际上还有一个非常简单但与此同时蛮沉重之不二法门可打开锁.
那便是用SHIM (铁片) 攻击,
事实证明往往极简易的攻击方式却是最行之行之. 以下是现身说法视频,
在拘留了以后你还愿意花100 美金去市这所谓的智能锁吧?

 

Bypass DogBone by SHIM (视频地址:)

http://v.qq.com/page/j/8/q/j0519sav98q.html

 

0X07 总结

通过DOG&BONE 蓝牙锁这个案例,
相信大家对低功耗蓝牙设备的解析以及攻击方式有矣一定水准的了解.
但市场上之BTLE相关产品种类繁多, 每款产品的安水平也各不相同.
大家好活动尝试玩来新花样.
而于开发者的角度来说在设计阶段就要用安全防卫考虑进去.
在成品上市前可考虑找白帽黑客测试后复发布.

 

0x08 参考文献

https://lacklustre.net/    

https://github.com/securing/gattacker

http://greatscottgadgets.com/ubertoothone

https://github.com/pwnieexpress/blue_hydra

https://en.wikipedia.org/wiki/Bluetooth_Low_Energy

https://github.com/kevin2600/BTLE-SmartLock-Hacking

The Terrible Security Of Bluetooth Locks

 

author,kevin2600
 文章转载自先知社区,原文地址:https://xianzhi.aliyun.com/forum/read.php?tid=1799&displayMode=1&page=1&toread=1\#tpc

更多安全类热点消息和知识分享,请持续关注阿里聚康宁博客

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图