-
-
[原创]手环BLE蓝牙认证绕过,可实现远程控制
-
发表于: 2021-6-1 16:40
-
BLE是常见的手环所用蓝牙,低功耗蓝牙(Bluetooth low energy,简称BLE)指支持蓝牙协议4.0或更高的模块。相较于传统蓝牙,BLE的特点是最大化的待机时间、快速连接和低峰值的发送/接收功耗。BLE只在需要时传输少量数据,而除此之外则会保持关闭状态,这大大降低了其功耗,也使其成为了在低数据速率下需要长久连接使用的理想选择。
由此来看,BLE非常适合运用于手环这种数据量比较少的传输场景。下面分析手环认证机制后,进行认证绕过。
02 重放攻击
首先,手机开启开发者模式,在开发者选项中启用蓝牙HCI信息收集日志。然后,通过手机APP点击寻找手环功能,向手环发送蓝牙数据。
分析蓝牙日志,确认蓝牙重放句柄的handle和value,使用BLE调试助手或nRF Connect等蓝牙调试工具即可重放攻击。
03 认证机制分析
手环认证分两种情况,一种是未绑定的情况,一种是已绑定的情况。已绑定情况只是少了一步发送key到手环的步骤。由后面分析可知,已绑定的手环同样可以发送key值覆盖之前的key,所以这里只介绍未绑定的情况。
通过手机APP,绑定手环,抓取蓝牙日志。
首先,获取认证characteristic的descriptor,向desc句柄写入0x0100。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 嘿嘿
|
|
|
|
|
|
|
|
|
这里是明文传输的,两端各自保留key和随机数,然后进行AES加密。而且这个key可以被覆盖,所以利用这点绕过的认证。 |
|
|
好吧,对称密钥明文传输就有点缺乏常识了 |
华云安
