物联网安全拔“牙”实战——低功耗蓝牙(BLE)初探

Author: FengGou

0x00 目录


  • 0x00 目录
  • 0x01 前言
  • 0x02 BLE概述
    • BLE 协议栈总览
    • GAP-通用访问规范
    • GATT-通用属性协议
  • 0x03 BLE嗅探
  • 0x04 伪造BLE通信
  • 0x05 分析BLE私有数据协议(灯泡、跳蛋、小米手环)
    • 1.YeeLight 2 代蓝牙灯泡
    • 2.小爱爱智能跳蛋(这个真不是我的,某个小伙伴借给我研究的)
    • 3.小米手环
      • 番外篇:小米手环认证机制分析
  • 0x06 结语
  • 0x07 参考资料

0x01 前言


因为自己曾DIY过所谓的“智能硬件”,学习过程中除了接触各种芯片、传感器、电路知识外,也拆了不少设备分析其设计思想学以致用。再后来又接触了如:Wi-Fi、ZigBee、Bluetooth、NFC、IR、普通射频甚至音频等通信技术,才发现空气中那些形形色色的边界,才是整个物联安全的关键。

今天的内容是我在乌云内部做的技术分享,也是我以前对低功耗蓝牙技术的一些接触,整理后决定对社区公布。一来可以让社区对神秘的蓝牙技术破冰;二来也是抛砖引玉,希望能看到更多有趣的案例;三来比起那些华丽丽的show,我更喜欢分享一些实际的内容。

本次的研究目标是蓝牙4.0中的低功耗技术(Bluetooth Low Energy)简称“BLE”,需要注意一些技术规范容易与经典蓝牙搞混。

正文开始前再看一段新闻报道吧,感受下蓝牙对当前以及未来在我们生活中的影响力:

2015年8月18~19日,蓝牙技术联盟(Bluetooth Special Interest Group,简称SIG)在上海举办2015蓝牙亚洲大会。蓝牙技术联盟执行总监Mark Powell在会上指出,目前蓝牙已经成为全球使用量最大的无线技术。目前,蓝设备的年出货量在过去15年内增加了1000倍,已经达到了30亿的水平,在未来的4~5年内还将增加到50亿。

0x02 BLE概述


这里本应该先讲解蓝牙与低功耗蓝牙的基础知识,但网上资料充足,所以各位还是从文章最后的参考资料中学习吧。乌云上也有白帽做了部分科普 Bluetooth Low Energy 嗅探 感谢他的分享。所以我只讲基础知识中的关键内容,然后多放些大家喜闻乐见的实战案例。

BLE 协议栈总览

这个协议栈非常复杂,想基础化了解BLE协议基础的,就可以参考最新蓝牙4.2的官方文档 Bluetooth® Core Specification 4.2,我只简单的提取我理解的关键部分。

GAP-通用访问规范

BLE设备的链接与加密、签名协议的协商在这一层,比如BLE的两种安全模式,首先是Security Mode 1,这个模式主要负责“加密”,它含有三个安全等级:

  • Level 1 无认证无加密,链路默认模式。我手头有的设备默认都是这个等级,不靠谱…
  • Level 2 带加密的未认证配对
  • Level 3 带加密的认证配对

其次是Security Mode 2,这个模式主要负责“签名”,它含有两个安全等级:

  • Level 1:带数据签名的未认证配对
  • Level 2:带数据签名的认证配对

PS:以上都是书本知识,具体可以参照蓝牙4.2官方文档内对BLE安全的解说部分,注意不要跟蓝牙混淆。

GATT-通用属性协议

GATT负责两个BLE设备间通信的数据交互,是对功能数据最为重要的部分,这篇文章的核心也在这里。

如图,GATT中的三个要素Profile、Service、Characteristic以及他们的层级关系,值得注意的是,Profile其实是SIG蓝牙技术联盟给一些同范畴内的Service打包后的集合,比如电池、心率、血压等,可以参照官方 Profiles Overview 所以Profile对我们的分析并无大用,不用放在心上。

Service和Characteristic是比较重要的,Service可以理解为PHP中的“类”,功能对象的集合。Characteristic可以理解为PHP的“函数”,是GATT中具体的功能对象,每个Service都可以包含一个或多个Characteristic。

为什么说GATT很重要?因为理解了它,就已经能够分析或是“黑掉”一些BLE设备了。比如小米手环在国内某个硬件安全会议上被做过一个攻击演示,使用Lightblue连接到手环后,只要用给其中一个Characteristic写入1,就可以让手环震动起来,大家很惊讶但有不知所以然。我来用官方注册的Characteristic角度解释一下:

那个FEE7就是一个私有Service的UUID,里面的0xFE**就是私有Characteristic的UUID,在往下面这个Immediate Alert 显示出了名称,代表其不是小米私有的Service,而是官方公开定义的Service,我们点击进入这个 Characteristic

看到了这个 Characteristic 的UUID 2A06,然后我们去蓝牙官网定义的列表 Characteristics 搜索 2A06,进入Characteristic的详情页面。

该 Characteristic 操作定义非常明确了:

含义
无警告
1 温和的警告
2 强烈的警告
3~255 预留

所以你向UUID为 0x2A06 的 Characteristic 写入1的时候,小米手环会变会震动。其实你还能输入2,这个快感比1更酸爽~哦呦、别、别停…… 这是一个简单的GATT例子,不知各位是否明白,现在你可以安装个LightBlue链接你身边的BLE设备,看看能否发现一些问题了呢?

小知识:GATT中的UUID有16bit和128bit两种,官网看到那些都是16bit的(其实真正的通信都是128bit的,官方UUID在第一段数据中可以识别)。官方认证过的UUID是要花银子的,但你可以免费使用,保证软硬件的相互理解。相反,私有UUID只有你自己的软硬件才能够理解,要弄明白功能就得技术性分析,也就是我后面要做的事情。

0x03 BLE嗅探


在遇到私有Service或Characteristic的时候,就要通过app逆向或嗅探蓝牙通信来分析了。说到蓝牙嗅探,大家第一想到的肯定是神器 Ubertooth One,精致的硬件+配套的软件变成了物联网黑客强大的帮手,缺点大家有所体会——昂贵。在自己做了一些简单的BLE设备研究后,了解到其实有更廉价的方案可供使用,这就是蓝牙芯片厂所提供的BLE USB Dongle。

BLE USB Dongle,蓝牙芯片厂商为了方便开发者能够方便的调试蓝牙产品通信,就将这些蓝牙芯片集成为USB模块,可进行方便的蓝牙透传测试。而你可以烧入Sniffer固件,就可以利用这个设备分析附近的蓝牙通信,然后将数据通过USB串口输出到计算机上。

代表性的芯片有:

  • 德州仪器(TI)的CC254x系列,配有官方的Sniffer程序,非常强大

  • 北欧(Nordic)的NRF51822,串口输出到计算机后,通过pipe方式使用Wireshark分析

我个人喜欢后者,因为我觉得这个数字对于我来说很吉利…吉利?…好吧,我就索性放弃Ubertooth One这款神器,给大家看看USB Dongle的其他玩法:)另外注意,NRF51822是一块单模(Bluetooth Smart)芯片,只支持BLE。具体参考官方文档:nRF Sniffer User Guide v1.1

配置好环境之后就可以对附近的设备通信进行抓取了,我先来验证一下书本知识。

这是BLE设备建立链接前主设备发给从设备的 CHANNEL_MAP_REQ 信息,用来告知BLE这40个信道哪些已经被占用,哪些可以使用。从中我们可以看到BLE频率起始为2402MHz,结束为2480MHz,信道间距2MHz,有3个不可使用的广播信道37、38、39(频段的起始、结尾与中心各设置一个广播频道,合理),这些都与书本知识吻合。

然后我们选择一个BLE设备的MAC地址进行Sniffer,注意一定要在设备连接前就指定mac监听。监听后随便发起什么通过蓝牙信号的操作,我们就抓取到了第一个BLE数据包

很激动有木有?现在抓取BLE通信就犹如抓取网络通信一样便捷了,连复杂的跳频都先不用去考虑了撒。接下来再看最下面 Bluetooth Attribute Protocol 就是关键的 BLE 操作通信内容,那个value是该产品的私有通信协议。虽然现在看不懂意思,但并非是加密所致,因为我前面有提到,我手里的设备安全链路全是Security Mode 1 默认的Level 1这个级别…那私有协议如何分析?别急,后面的实战部分我会介绍我的思路。

0x04 伪造BLE通信


现在可以分析BLE通信了,接下来还要知道如何发送BLE信号,让对方设备执行我们期望的操作。其实要达成这个目标BLE USB Dongle或蓝牙开发版就可以实现,但为了今后更多无线通信测试的便捷性,我还是准备打造一款软硬结合的平台。所以软件我使用Linux官方的蓝牙栈BlueZ(很多蓝牙攻击程序都是基于该蓝牙栈),硬件我则选择了CSR厂的CSR8510芯片蓝牙适配器。平台我用2代树莓派搭建,未来会支持蓝牙、RTL-SDR、ZigBee等常见无线通信协议,比那些装个kali2就叫“无线渗透”的设备可玩性多了些嘿嘿。

  • CSR8510 蓝牙适配器
  • BlueZ 官方蓝牙协议栈
  • Raspberry2 平台

目前蓝牙的设备塞在一起就是酱紫了。

在这里,我们用Bluez自带的hcitool扫描下没开启广播的BLE设备,比如小米手环 无处遁形。

在上一节BLE抓包后,我们得到的 Bluetooth Attribute Protocol 中的信息,就是发出BLE信号的关键部分:

  • OPcode

操作:Read、Write还是Notify(写操作也不一定都是 write request 还有 write command,区别自己搜)

  • Handle

操作句柄,可以简单理解为 Characteristic 的基址,真正的通信地址

  • Value

设备间传输的数据真身。有了这几个信息,我们就可以调用BlueZ给设备发送修改后的信号了。

0x05 分析BLE私有数据协议(灯泡、跳蛋、小米手环)


有了上面的理论基础,要开始实战了。我手头上只有蓝牙灯泡和小米手环,后来一个猥琐的朋友借我个跳蛋希望帮忙分析…

1. YeeLight 2 代蓝牙灯泡

首先这个灯泡我在分析前就敢肯定他是存在问题的,因为灯泡的操作逻辑不会过于复杂,无非是一开一关、变色等等,所以我就拿他来做“Hello world”

1. 抓包灯泡的开关灯动作的value

2c2c2c3130302c2c2c2c2c2c2c2c2c2c2c2c(开)
2c2c2c302c2c2c2c2c2c2c2c2c2c2c2c2c2c(关)

看到差异了么?

0x313030 = 100 0x30 = 0 从 4bytes 开始,就是该灯泡的亮度部分,100最亮,0没有亮度,也就是关。

2. 抓包灯泡的换颜色动作

3235352c302c302c3130302c2c2c2c2c2c2c(红色)
302c302c3235352c3130302c2c2c2c2c2c2c(蓝色)

同上道理

0x3235352c302c30 = 255,0,0
0x302c302c323535 = 0,0,255
这就是RGB的颜色格式,很简单直接告破:)最后看下 Handle 0x0012,来源如图

最后,简单的看下Bluez协议栈自带的gatttool工具的使用方法

通过抓包分析得知操控灯泡颜色的handle是0x0012,我读了下他的uuid为fff1,私有的。用char-write-cmd命令直接写入我们分析好的协议,灯泡变色,然后再读取之,数据确实成功写入。

Demo:

2. 小爱爱智能跳蛋(这个真不是我的,某个小伙伴借给我研究的)

这个产品感觉逻辑也简单,就是网络远程发送震动指令到手机,手机在通过BLE链接设备进行你懂、我懂、他也懂的事情,羞~

这个跳蛋有三种模式:预定义节奏的震动、随着音乐翩翩起舞的震动还有一个体位交互震动,因为前两个没啥难度,基本抓到操作重放出来就OK了,最后这个模式比较卡哇伊,玩玩它咯。

与灯泡不同的是,进入体位模式后,Master会给Slave发送一个状态开启这个模式。所以你盲目的发送抓到的震动操作这个蛋是不震的,因为你要先让她进入状态。

给 Handle 0x0013 发送 0x0811060f01010232 后,它就进入状态了。
然后 0x3e = 震动,0x7f = 生理暴击(你狂按手机的时候就疯狂的震动)

这个分析很简单,因为都是些开关类的操作没有太多实际的含义,所以无需解开数据,直接重放就可以,我做了个发送SOS急救信号的demo。

Demo:

3. 小米手环

小米手环是明星产品,对他的分析也充满了趣味与困难,因为从一开始我就遇到了一个认证机制,如果蓝牙链接后不写入一段特殊格式的数据,那你只能读少量信息不能对手环进行操作。我通过抓包分析GATT中的write操作,过程省略2万字,最终定位了一个向 Handle 0x0019 进行的write操作,该Characteristic返回了个Notify,然后手环就可以随意写指令了(如私有协议中的震动、LED颜色变化、开启实时步数监控等)。

不过认证怎么能叫PWN?

不过认证怎么能叫PWN?

不过认证怎么能叫PWN?

重要的事情说三遍。小米手环的认证数据分析好了,结构如下

uid 性别 身高&体重 昵称 类型 签名
dcxxxx00 0100 af3a00 66656e67676f7500 0000 fe

这个签名是最重要的部分,前面的数据都可以伪造,只要签名过了,手环就会允许你后续的写指令,才能做到真正的PWN。那这个签名是咋算出来的?请看番外篇。


番外篇:小米手环认证机制分析

剑走偏锋,通过BlueZ得到了小米手环一个完整的私有协议UUID,然后去Github搜索,希望找到官方的代码(其实这部分通过逆向Android app相信就能得到,不过说好的剑走偏锋么)

然后呢?duang~

似乎是个第三方SDK,目前至少不用去逆向Android APP了开心,说实话这个我还真不擅长。通过这个SDK我找到了具体认证流程的代码:

GitHub - miband-sdk-android

从这段代码中分析,最终写入Characteristic的内容,来自 userInfo.getBytes(device.getAddress()

public void setUserInfo(UserInfo userInfo)
{
    BluetoothDevice device = this.io.getDevice();
    this.io.writeCharacteristic(Profile.UUID_CHAR_USER_INFO, userInfo.getBytes(device.getAddress()), null);
}

userInfo.getBytes 的设计在这里,做了简单注释

public byte[] getBytes(String mBTAddress)
{
    ...
    ByteBuffer bf = ByteBuffer.allocate(20);
    bf.put((byte) (uid & 0xff));    //uid
    bf.put((byte) (uid >> 8 & 0xff));
    bf.put((byte) (uid >> 16 & 0xff));
    bf.put((byte) (uid >> 24 & 0xff));
    bf.put(this.gender);    //性别
    bf.put(this.age);   //年龄
    bf.put(this.height);    //身高
    bf.put(this.weight);    //体重
    bf.put(this.type);  //类型
    if(aliasBytes.length<=10)
    {
        bf.put(aliasBytes);
        bf.put(new byte[10-aliasBytes.length]);
    }else{
        bf.put(aliasBytes,0,10);
    }

    byte[] crcSequence = new byte[19];  //取出用户信息的前19个字节
    for (int u = 0; u < crcSequence.length; u++)
        crcSequence[u] = bf.array()[u];

    byte crcb = (byte) ((getCRC8(crcSequence) ^ Integer.parseInt(mBTAddress.substring(mBTAddress.length()-2), 16)) & 0xff);
    bf.put(crcb);   //将签名跟前面的用户信息拼接
    return bf.array();  //最终写入Characteristic的内容
}
uid 性别 身高&体重 昵称第1byte凑齐19byte MAC最后2byte
dcxxxx00 0100 af3a00 6 FC

这个数据与MAC地址最后两位FC进行异或为16byte数据,在转为2byte的hex签名结果。用户信息与手机端无需一致,只要签名正确即可。这里感谢 @瘦蛟舞 的帮忙,用java程序帮我做了个接口,这样我就能根据MAC地址任意生成有效的认证数据了。

完整代码也不放出了,毕竟可以秒杀手环认证:)


解决了认证的难题,接下来就是压轴大戏,如何对用户以及产品口碑造成真正的影响。震动?改步数?LED跑马灯?都不是,我选择在茫茫人群中,给你写入恶意的闹铃,名曰 午夜凶“铃”。试想下,背着我那台无线Hack设备,天天在早高峰蹭北京城铁13号线,自动搜索身边小米手环,然后链接过认证写入闹铃,你们猜一个月后我能“感染”多少手环?我相信不用多久,小米手环论坛就会有用户闹翻天了…光说不练耍流氓,实现它。选择设备后抓包,客户端设置几次闹铃,只要一次我就解开私有协议格式了:

一样简单,数据格式我画出来。第一位说明当前的操作是闹铃,第二位是闹铃的序号,第三位闹铃的开关,第四位开始就是闹铃时间,倒数第二位是智能唤醒(就是在你浅睡眠的时候把你叫起,但是我偏不,就是要在你深度睡眠时唤醒你,木哈哈),最后一位就是闹铃的循环日期,0x7F就是每天。

写好测试程序,搜索并链接手环通过那个“认证”获取操作权限,再用手环LED玩个跑马灯,最后华丽丽的写入闹铃释放链接。结果手机客户端连上去发现闹!铃!没!开!启!还是默认的关闭状态,不放弃继续分析,我是越挫越勇的……

通过后面的分析发现,这个地方是小米手环客户端(至少iOS客户端)的BUG,手环开发组GG认为手环的数据只有通过客户端进行开启修改,所以非客户端写入的数据不会自动同步!也就造成了恶意闹铃虽然写入成功,但客户端看不到,认为闹铃没有变化不去同步最新的状态,但这反让攻击变的更加隐蔽了,啧啧。

看演示吧,POC代码不放,因为细心动手的人可以通过我的分析解决一切问题,也避免真的有人直接利用代码对小米用户进行攻击(因测试成功后忘记取消之前设置的午夜凶“铃”,所以我成了第一个受害者,大半夜太酸爽了)。

Demo:

0x06 结语


内容没有涉及任何经典/低功耗蓝牙的协议加解密、签名、配对儿认证等安全机制,毕竟是初探,不搞那么复杂高大上变成学术文章。所以我先分享一些接地气儿的产品和攻击场景,希望能够建立伙伴们对物联网安全的兴趣。

BLE在蓝牙中都是很小的一部分,在物联网汪洋大海中更是一叶扁舟,学海无涯希望路上有你。

PS:以上的内容我个人认为并不是漏洞,毕竟还得10米的攻击范围内,所以直接当做技术分享吧。

0x07 参考资料


  1. Bluetooth® Core Specification 4.2
  2. nRF Sniffer User Guide
  3. nRF-Sniffer-Code
  4. 低功耗蓝牙开发指南 作者:(英)海登 著,陈灿峰 刘嘉 译
  5. CC2540 Bluetooth Low Energy Software Developer’s Guide (部分翻译修改版)

©乌云知识库版权所有 未经许可 禁止转载


30
Mark0smith 2016-06-07 00:57:46

狗哥真6,膜拜

30
blue 2015-12-13 10:57:19

用安卓手机装kali nethuner 也能实现么???

30
DayDay 2015-11-09 16:17:22

4.2版的蓝牙协议已经采用了防止重放攻击的方案

30
p.z 2015-11-04 17:29:57

@PiaCa 我就问你一句话, 你是狗哥的小伙伴吗?

30
喝喝 2015-11-02 20:04:56

跳蛋啊跳蛋

30
aa 2015-11-02 14:00:57

这个厉害了

30
似乎很淡定a 2015-11-02 11:07:33

很不错的资料

30
Me_Fortune 2015-11-01 20:03:01

我是来看跳蛋的

30
菜鸟 2015-11-01 11:44:10

我想学习一下,方便留个联系方式吗?我的QQ:826376098

30
丶澾 2015-11-01 09:03:17

M

30
shugen 2015-10-31 21:41:03

树莓派?

30
niu 2015-10-30 19:42:03

太棒了!!膜拜~

30
fenggou 2015-10-30 15:41:45

很好的安全研究。~膜拜了

30
livers 2015-10-30 15:34:17

狗哥好牛逼啊 再研究下 ,让手环变砖哈哈

30
老马谈互联网加 2015-10-30 14:07:36

学习。

30
小荷才露尖尖角 2015-10-30 14:03:35

某个小女伴借的。。。

30
stevegy 2015-10-30 13:17:29

跳弹。。。。这个才是重点啊

30
高小厨 2015-10-30 13:08:14

我们很关心那个小XX是你借谁的,哈哈

30
瘦蛟舞 2015-10-30 12:26:39

斯国一....

30
路人甲 2015-10-30 11:34:28

@phoenixne 还可以下载通讯录之类的
不过现在好像都没有了

30
疯狗 2015-10-30 11:34:05

@数据流 嗯,百步穿杨

30
数据流 2015-10-30 11:17:24

下面写错了 应该是powserclass 1是100m

30
数据流 2015-10-30 11:14:47

好文!顶狗哥。。其实可以再写多点关于ble协议栈的知识。。最后我觉得算是漏洞,其实不止10m,但说的10m只是理论值,一般class 2的实际范围就6,7m左右,但是用大功率的class 1的设备去发射信号,这样就不止10m了哦。powserclass 2理论值是100m。还有这些ble设备本来可以采用更高级的认证方式,但是并没有采用。所以我觉得算是安全漏洞吧。: )

30
phoenixne 2015-10-30 10:59:06

记得以前NOKIA时代就可以通过HACK蓝牙让对方直接显示 想说的话。
案例里是 酒吧里 HACK附近 美女手机来搭讪

30
瘦蛟舞 2015-10-30 10:56:06

终于看到了实用攻击场景~

30
mickey 2015-10-30 10:52:40

这才是技术研究啊。。顶。。

30
PiaCa 2015-10-30 10:28:47

这个简直不要太棒,我是来顶狗哥的。
另:唐朝实验室第二发

感谢知乎授权页面模版