首页
社区
课程
招聘
[原创]手环BLE蓝牙认证绕过,可实现远程控制
发表于: 2021-6-1 16:40 18675

[原创]手环BLE蓝牙认证绕过,可实现远程控制

2021-6-1 16:40
18675

BLE是常见的手环所用蓝牙,低功耗蓝牙(Bluetooth low energy,简称BLE)指支持蓝牙协议4.0或更高的模块。相较于传统蓝牙,BLE的特点是最大化的待机时间、快速连接和低峰值的发送/接收功耗。BLE只在需要时传输少量数据,而除此之外则会保持关闭状态,这大大降低了其功耗,也使其成为了在低数据速率下需要长久连接使用的理想选择。


由此来看,BLE非常适合运用于手环这种数据量比较少的传输场景。下面分析手环认证机制后,进行认证绕过。


02 重放攻击



首先,手机开启开发者模式,在开发者选项中启用蓝牙HCI信息收集日志。然后,通过手机APP点击寻找手环功能,向手环发送蓝牙数据。

分析蓝牙日志,确认蓝牙重放句柄的handle和value,使用BLE调试助手或nRF Connect等蓝牙调试工具即可重放攻击。


03 认证机制分析



手环认证分两种情况,一种是未绑定的情况,一种是已绑定的情况。已绑定情况只是少了一步发送key到手环的步骤。由后面分析可知,已绑定的手环同样可以发送key值覆盖之前的key,所以这里只介绍未绑定的情况。

通过手机APP,绑定手环,抓取蓝牙日志。

首先,获取认证characteristic的descriptor,向desc句柄写入0x0100。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 9
支持
分享
最新回复 (10)
雪    币: 3403
活跃值: (2094)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
点赞。部分厂商硬是要用认证机制,实现数据必须上云的目的;绕过认证机制蛮有意义的
2021-6-2 02:05
0
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
支持一下,文章很不错
2021-6-2 14:55
0
雪    币: 8854
活跃值: (2312)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
文章写的蛮不错,战术性Mark
2021-6-5 02:22
0
雪    币: 1293
活跃值: (109)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
Mark
2021-6-7 11:15
0
雪    币: 311
活跃值: (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
Mark
2021-6-7 12:43
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
嘿嘿
2021-6-9 14:01
0
雪    币: 38
活跃值: (185)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
8
Mark
2021-6-16 14:24
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
key不是ECDH密钥协商的吗?怎么是明文传输的啊
2021-7-5 16:14
0
雪    币: 314
能力值: ( LV1,RANK:20 )
在线值:
发帖
回帖
粉丝
10
wx_stone_844 key不是ECDH密钥协商的吗?怎么是明文传输的啊
这里是明文传输的,两端各自保留key和随机数,然后进行AES加密。而且这个key可以被覆盖,所以利用这点绕过的认证。
2021-7-6 11:43
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
11
华云安 这里是明文传输的,两端各自保留key和随机数,然后进行AES加密。而且这个key可以被覆盖,所以利用这点绕过的认证。
好吧,对称密钥明文传输就有点缺乏常识了
2021-7-7 18:00
0
游客
登录 | 注册 方可回帖
返回
//