【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

IoT 3个月前 admin
35 0 0

前言

【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

HackRF One 是一款低成本且高度灵活的 SDR 设备,允许用户通过软件来定义和控制无线电信号的接收、发送、解码和干扰等功能。Portapack 是一个专为 HackRF One 软件定义无线电设计的便携扩展套件。它能够将 HackRF One 这一强大的硬件变得更便于携带,通过集成 LCD 触摸屏、导航控制、音频输入输出、Micro SD 卡插槽、2.5 PPM 晶体振荡器和实时时钟电池备份等功能,极大地提升了用户的操作体验和应用场景。Portapack 的核心在于其能够独立处理信号并提供友好的用户界面,使用户在无需电脑的情况下实现多种实用操作。

本篇文章将着重介绍 Portapack H2 中对蓝牙的 BLESpam 攻击。

攻击演示




【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

打开Portapack设备(我这里使用的是Mayhem的系统,V2.0.1),进入Transmit中,如下图所示找到BLESpam

【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

进入后的界面如下图所示,默认的设备选项是Android设备,可以进行切换。

【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

主要支持的设备有:

  • Android:这会创建一个 FastPair 攻击,在所有附近(及受支持的)的 Android 手机上弹出大约 10 台设备,冷却时间为 15 分钟。(小米 10S 搭载 Hyper OS 测试结果无效,手上没有其余安卓手机了)
  • iOS:与上面相同,但针对的是 iOs,并且限制取决于 iOs 的版本。
【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

  • iOS crash:会弹出附近的设备对话框,大约一分钟后,未打补丁的 iOs 设备将崩溃。电源循环将恢复。
  • Windows:与 Android 版本相同,但适用于 Windows。根据补丁级别,限制未知。需要支持和启用的硬件。
【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

经过测试,这个会影响全屏幕的程序甚至是焦点频繁截取(指的是窗口控件焦点)

  • Samsung:与安卓相同,但采用三星特定的“EasySetup”·协议。
  • NameSpam:仅在蓝牙设备列表中显示许多预定义的名称。
【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

  • NameRandom:显示列表中的许多蓝牙设备,其名称由随机字符组成。
  • All-safe:除了 iOS 崩溃之外,其他攻击类型均被打乱。(执行全部的安卓脚本)
  • All:随机播放所有攻击类型。

原理分析

蓝牙协议

蓝牙技术采用2.4GHz的无线电频段进行通信,使用的频率范围是2402MHz~2480MHz,总共79个频道可用,每个频道的带宽为1MHz。这一频段是全球通用的无线电频段,也是工业、科学和医疗(ISM)频段的一部分。蓝牙技术采用了自适应频率跳跃技术,在通信过程中随机地在不同的频道之间跳跃,从而减少对其他无线设备的干扰。此外,蓝牙规范还定义了与其他无线技术(如 LTE 和 WiMax)共存的滤波器建议,以在某些情况下将干扰减小到可接受的水平。

攻击原理

其实BLESpam攻击的原理非常简单,通过无线电发射功能,发送大量的 BLE 广告包来影响或干扰低功耗蓝牙设备的正常运行。根据对 https://github.com/Flipper-XFW/Xtreme-Apps/blob/dev/ble_spam/ble_spam.c 程序源码的分析,它的原理大概就是:

  • BLE 设备经常通过广播来发布它们的服务和可发现性。通过模拟名称、UUID 等,合法的模拟 BLE 设备或发送大量的无效广播包。
  • 程序首先初始化 BLE 库和设置,准备发送广告包。
  • 定义要发送的广告数据,包括设备名称、服务 UUID。
【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

  • 程序进入一个循环,不断发送伪造的 BLE 广告包,以实现对目标区域的 Spam 攻击。
【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

危害

  • 大量的 BLE 广告包可能导致 BLE 接收设备(如智能手机、智能穿戴设备等)的 BLE 接收模块饱和,无法正常接收和处理其他重要的 BLE 信息。
  • 虽然本工具直接不涉及数据窃取,但干扰 BLE 通信可能间接为其他攻击(如中间人攻击)创造机会,从而增加隐私泄露的风险。

为什么使用 HackRF?

【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

HackRF One支持1Mhz-6Ghz,经过官方文档得知其在2.15Ghz(2150Mhz)-2.75Ghz(2750Mhz)的发射功率是最的,也是目前能够支撑该技术的最好设备。

必须使用 HackRF?

其实对于国内动辄一千块钱的HackRF来说,只是经济适用和性能的选择罢了。我们也可以使用其他的设备,如Flipper Zero甚至是你的安卓手机。但是就价格来说,Flipper Zero确实让人汗颜,全套 2000 以上的售价其实已经比较高了。为什么不使用安卓手机呢?(其实是因为我本身就一直有一个HackRF One,但是一直吃灰,做重放包攻击什么的用HackRF甚至Flipper Zero有点杀鸡用牛刀了,毕竟某宝几十块钱就能搞定)

小插曲:使用这个 APP 其实我是一直没有成功的,权限也都给足了。

【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

修复

其实这种 BLE 修复并不能做到两全其美,HyperOS 为什么接收不到?因为小米只会授权自己家的协议,而且国外没有对小米这种生态进行测试。所以没有现成的 Payload 供给使用。修复的话,目前我能想到的解决方案就是类似于 IC 卡、防止重放包攻击的原理:滚动码。当然,可能也有我目前没接触过的防御方式,但是我说的不算数,得厂商发话。


原文始发于微信公众号(中学生CTF):【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击

版权声明:admin 发表于 2024年8月14日 上午9:01。
转载请注明:【近源渗透大揭秘】关不掉的蓝牙弹窗之 HackRF One + Portapack H2 BLESpam攻击 | CTF导航

相关文章