转载

使用btproxy对蓝牙设备进行安全分析

最近我比较热衷调查新技术的安全性能，尤其是“IoT”领域的新设备，比如使用蓝牙进行连接的设备。熟悉蓝牙连接方式之后，我就想用明文的方式来看看它的通信数据，有可能的话最好还能修改下其中的数据。类似于现有的网络流量工具，这里并没有方便快捷的办法实现它。

我写的这个工具需要1个或者2个蓝牙适配器作为其他两个设备之间连接的代理，代理连接可以查探明文数据流量，以及实时修改的能力。

安装

我已经将该项目发布到 github 上，目前该工具仅仅只能在Linux 或者 OS X下进行运行，且其依赖于BlueZ。

安装依赖包：

sudo apt-get install bluez bluez-utils bluez-tools libbluetooth-dev python-dev

安装btproxy：

git clone https://github.com/conorpp/btproxy cd btproxy sudo python setup.py install

在Pebble Watch上运行

为了运行它，你需要两个蓝牙设备进行作为代理（蓝牙电量低，不会运行）

为此，我选择使用我的手机（Nexus 6）以及Pebble Watch。

接着我打开所有设备的可发现蓝牙设备。我的Nexus 6跑的是Android L，这需要到设置中去打开蓝牙选项。同样的Pebble watch，也需要到设置菜单中去打开蓝牙。设置完成之后，我们就可以运行代理了。

我使用hcitool来扫描设备，因此我获取到设备的MAC地址

$ hcitool scan

Scanning ...          77:88:99:AA:BB:CC   Pebble 9FAA          11:22:33:44:55:66   conorpp's Nexus 6

接着，运行蓝牙代理：

sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC

注意，我先输入的是手机的MAC地址。这一点十分重要，因为手机是作为连接中的主设备，手表作为其从属设备。主/从设备都会使用蓝牙协议，直到主设备发出请求，从属设备通常保持待机状态。并且主设备可以连接到多台设备，而从属设备仅仅智能连接一台设备。

使用btproxy对蓝牙设备进行安全分析

M=Master(主设备) S=Slave（从属设备）

现在我们就来看看代理的输出信息

$ sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC

Running proxy on master  11:22:33:44:55:66  and slave  77:88:99:AA:BB:CC  Using shared adapter  Slave adapter:  hci0  Master adapter:  hci0  Looking up info on slave (77:88:99:AA:BB:CC)  Looking up info on master (11:22:33:44:55:66)  Spoofing master name as  Pebble 9FAA_bt proxy Running inquiry scan  paired  Spoofing master name as  Pebble 9FAA_btproxy  Proxy listening for connections for "Serial Port Server Port 1"  Proxy listening for connections for "Audio/Video Remote Control"  Attempting connections with 2 services on slave  Connected to service "Audio/Video Remote Control"  Connected to service "Serial Port Server Port 1"  Now you're free to connect to "Pebble 9FAA_btproxy" from master device.

代理会搜寻设备名称和类，所以其可以将设备名称和类复制到使用的蓝牙适配器中。在本例中，因为只有一个蓝牙适配器，所以只会复制从属设备的属性。

途中，它会向我的Pebble watch发出一个蓝牙适配请求。接受请求之后，代理会打开每个手表设备的蓝牙接口，然后连接到手机。代理连接到手表中的蓝牙之后，我将主设备（Nexus 6）连接到代理设备（Pebble 9FAA_btproxy）

使用btproxy对蓝牙设备进行安全分析

btproxy输出

Accepted connection from  ('11:22:33:44:55:66', 1) >>   b'/x00/x1e/x001/x01/x1b/x07/xe0/xd9/xcb/x89WK/xf7/x9dB5/xbfG/xca/xad/xfe/x01/x01/x00/x00/x00/x02/x04/x00/x01/x00/x00/x00/x00/x01/x00/x11/x00'  <<  b'/x00/x11/x00/x11/x01/xff/xff/xff/xff/x00/x00/x00/x00/x00/x00/x00/x02/x02/x02/x04/x00'  <<  b'/x00/x01/x00/x10/x00'  >>  b'/x00/x96/x00/x10/x01U/t/xb4/xfbv2.9.1/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x0054664bd/x00/x00/x06/x01R"T_v1.5.5/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x001c16275/x00/x01/x06/x01R/xe2/xf82102V1/x00/x00/x00/x00Q206134E01L3/xaa/x9f/xa6/xe9/x17/x00&e/x8a/x03U/t/xb4/xfben_US/x00/x00/x01XXXXXXX/x00'  <<  b'/x00/x0b/x13/x89/x00/tmfg_color'  >>  b'/x00/x06/x13/x89/x01/x04/x00/x00/x00/x07'  <<  b'/x00/x01/x17p/x01'  >>  b'/x00/t/x17p/x01/x00/x00/x00/x08/x00/x00/x00/x00'  <<  b'/x00/x05/x00/x0b/x02U/xec^4'

这里有使用到两个协议：SPP 和 Pebble，发送一个明文通知。

我给自己发送一条明文通知之后获取到的日志记录：

<<  b'/x00F/x0b/xc2/x00/x01/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00/x00K_/xecU/x01/x02/x03/x01/x0e/x00(123) 456-6789/x03/x0c/x00Hello Pebble/xff/x05/x00/xfe/x05/x00/x01/x03/x01/x01/x05/x00Reply'

你可以看到电话号码，以及通知内容，"Hello Pebble".

我发送一条谷歌环聊信息后截获的包：

<<  b'/x00b/x0b/xc2/x00/x01/x00/x00/x00/x00/x01/x00/x00/x00/x00/x00/x00/x00/xf2_/xecU/x01/x02/x02/x01/r/x00Conor Patrick/x03/x1a/x00Sent a message on Hangouts/x01/x02/x01/x01/r/x00Open on phone/x02/x04/x01/x01/x07/x00Dismiss'

你可以看到其发送了两个选项："Open on phone" 以及 "Dismiss".

使用Python内联脚本可以实时修改包中的任何内容。

例如：

# replace.py  # This replaces the options in a Pebble notification packet  def master_cb(req):   req = req.replace(b'Open on phone', b'Hi welcome to')      req = req.replace(b'Dismiss', b'Btproxy')      print( '<< ', repr(req))      return req   def slave_cb(res):      print('>> ', repr(res))      return res

当主设备（Nexus 6）向从属设备（Pebble Watch）发送一个数据包时，会调用master_cb，反之则调用slave_cb.

重启btproxy:

sudo btproxy 11:22:33:44:55:66 77:88:99:AA:BB:CC -s replace.py

然后发送一个通知：

使用btproxy对蓝牙设备进行安全分析

结论

使用该工具的目的是为了分析，同时也可用于如今越来越流行的物联网设备安全检测。到目前为止，我使用其更新固件、证书/凭证以及改变标识符，除非有方法实现设备强制蓝牙进行适配，并连接上代理，否则它不适合应用在实际的攻击中。或许在未来会有大牛攻破这个难题，但是现在这种攻击还仅仅属于理想状态的测试。

* 参考来源： conorpp ，译者/鸢尾转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

正文到此结束

所属分类：编程技术

本文标签： db 黑客 Connection remote UI 谷歌测试安装 list 协议安全 Android linux cat 智能 GitHub https IDE src git 数据 lib
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

其他链接

关于本站

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

使用btproxy对蓝牙设备进行安全分析

安装

在Pebble Watch上运行

btproxy输出

结论

* 参考来源： conorpp ，译者/鸢尾转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

热门推荐

相关文章

说给你听

本文目录

随机标签

书籍教程

近期评论

网站信息

其他链接

关于本站

问题交流

使用btproxy对蓝牙设备进行安全分析

安装

在Pebble Watch上运行

btproxy输出

结论

* 参考来源： conorpp ，译者/鸢尾 转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

热门推荐

相关文章

说给你听

本文目录

随机标签

书籍教程

近期评论

网站信息

其他链接

关于本站

问题交流

* 参考来源： conorpp ，译者/鸢尾转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）