低功耗蓝牙黑客：从数字逃逸到现实.pdf

1、低功耗蓝牙黑客：从数字逃逸到现实演讲人：肖临风 杨大林小米智能终端安全实验室小米旗下的安全团队，实验室致力于研究行业安全技术和实践、研发自动化平台、并对智能终端产品进行安全评估和防护，提升小米产品安全性。团队成员曾多次参加 Geekpwn 天府杯 补天杯等赛事并获大奖。?简介侠盗猎车MAIN HEADING ONE01隔空敛财MAIN HEADING TWO02无感入侵MAIN HEADING THREE03未雨绸缪MAIN HEADING FOUR04目录/CONTENTSCHAPTER 1侠侠盗盗猎猎车车侠盗猎自行车某些厂商在BLE应用层中实现的私有协议存在漏洞。攻击者可以通过刷新时间，使

2、旧命令有效，轻松打开智能U型锁。时间倒流侠盗猎自行车BLE分析基础数据嗅探使用nrf52840 dongle嗅探BLE通信，结合Wireshark进行报文的分析GATTGATT Server下包括多个不同的Service服务，同一个服务下可以包含多个Characteristic通信操作Read读、Write写Notify通知、Indicate指示侠盗猎自行车01使用固定密钥 但锁身没有信息，无法直接获取02抓一次包即可爆破密钥 8位随机字符爆破时间感人03简单重放攻击 根据时间刷新指令，滚动码？抓包与逆向分析侠盗猎自行车解锁指令01506373b88001635124b25ba90f719d6

3、32004f0指令编号时间戳HMAC-SH1签名当手机时间戳和U型锁时间戳同步的情况下，指令能够正常执行Hf*z密钥侠盗猎自行车解锁指令01506373b88001635124b25ba90f719d632004f0指令编号时间戳预防时间戳不同步导致无法解锁的问题时间戳回滚HMAC-SH1签名侠盗猎自行车解锁指令01506373b88001635124b25ba90f719d632004f0指令编号时间戳1.劫持0150指令，让APP认为时间戳未同步2.APP发送0840指令刷新时间戳，捕获0840指令3.重放0150指令和0840指令开锁重放0840指令HMAC-SH1签名侠盗猎自行车解锁指

4、令01506373b88001635124b25ba90f719d632004f0指令编号时间戳1.劫持0150指令，让APP认为时间戳未同步2.APP发送0840指令刷新时间戳，捕获0840指令3.重放0150指令和0840指令开锁重放0840指令HMAC-SH1签名CHAPTER 2隔隔空空敛敛财财隔空敛财从便利店购物，店员使用扫码枪扫描付款码进行收款。如何“远程”0-click攻击？想到了某些商家会使用蓝牙扫码枪扫码收银便利店扫码隔空敛财窃取用户支付凭据?直接攻击BLE协议攻击面分析常见的无线电通信没有建立“连接”和“交互”信道不安全，可以抢占信道发送指令，谁吼道声音大听谁缺少链路层的设

5、计WIFI和射频遥控通常工作在固定频段NRF24L01跳频序列可预测1无跳频或者跳频逻辑简单射频遥控1 315晚会报道的无人机是怎么被劫持的？低功耗蓝牙通信在没有捕获到连接包的情况下很难跟上跳频。例如使用nrf52 dongle进行抓包，只有抓到握手包才能正常跟踪跳频。很难凭空抓取已经建立连接的链路！跳频的复杂度高BLE频段链路层实现了安全的信道通信实现了“连接事件”保证BLE双方能够“交互”BLE Controller实现了“连接”链路层报文低功耗蓝牙通信Header定义：ChSel:信道选择算法，即跳频算法#1或者#2TxAdd:指示 InitA 字段中发起者的设备地址是公共的（TxAdd

6、=0）还是随机的（TxAdd=1）RxAdd:指示 AdvA 字段中广告者的设备地址是公共的（RxAdd=0）还是随机的（RxAdd=1）。Link Layer packet format for the LE Uncoded PHYsCONNECT_IND低功耗蓝牙通信InitA:连接发起者的地址AdvA:广播发送者的地址(被连接设备)CONNECT_IND低功耗蓝牙通信Access Address:接入地址,建立链路层通信的标识CRCInit:CRC 计算的初始化值WinSize:主机发送第一包数据的时间窗口 transmitWindowSize=WinSize*1.25 msWinOff