前言

HackRF One 是一款低成本且高度灵活的 SDR 设备，允许用户通过软件来定义和控制无线电信号的接收、发送、解码和干扰等功能。Portapack 是一个专为 HackRF One 软件定义无线电设计的便携扩展套件。它能够将 HackRF One 这一强大的硬件变得更便于携带，通过集成 LCD 触摸屏、导航控制、音频输入输出、Micro SD 卡插槽、2.5 PPM 晶体振荡器和实时时钟电池备份等功能，极大地提升了用户的操作体验和应用场景。Portapack 的核心在于其能够独立处理信号并提供友好的用户界面，使用户在无需电脑的情况下实现多种实用操作。

本篇文章将着重介绍 Portapack H2 中对蓝牙的 BLESpam 攻击。

攻击演示

打开Portapack设备（我这里使用的是Mayhem的系统，V2.0.1），进入Transmit中，如下图所示找到BLESpam。

进入后的界面如下图所示，默认的设备选项是Android设备，可以进行切换。

❝

主要支持的设备有：

• Android：这会创建一个 FastPair 攻击，在所有附近（及受支持的）的 Android 手机上弹出大约 10 台设备，冷却时间为 15 分钟。（小米 10S 搭载 Hyper OS 测试结果无效，手上没有其余安卓手机了）
• iOS：与上面相同，但针对的是 iOs，并且限制取决于 iOs 的版本。

❝

• iOS crash：会弹出附近的设备对话框，大约一分钟后，未打补丁的 iOs 设备将崩溃。电源循环将恢复。
• Windows：与 Android 版本相同，但适用于 Windows。根据补丁级别，限制未知。需要支持和启用的硬件。

❝

经过测试，这个会影响全屏幕的程序甚至是焦点频繁截取（指的是窗口控件焦点）

• Samsung：与安卓相同，但采用三星特定的“EasySetup”·协议。
• NameSpam：仅在蓝牙设备列表中显示许多预定义的名称。

❝

• NameRandom：显示列表中的许多蓝牙设备，其名称由随机字符组成。
• All-safe：除了 iOS 崩溃之外，其他攻击类型均被打乱。（执行全部的安卓脚本）
• All：随机播放所有攻击类型。

原理分析

蓝牙协议

蓝牙技术采用2.4GHz的无线电频段进行通信，使用的频率范围是2402MHz~2480MHz，总共79个频道可用，每个频道的带宽为1MHz。这一频段是全球通用的无线电频段，也是工业、科学和医疗（ISM）频段的一部分。蓝牙技术采用了自适应频率跳跃技术，在通信过程中随机地在不同的频道之间跳跃，从而减少对其他无线设备的干扰。此外，蓝牙规范还定义了与其他无线技术（如 LTE 和 WiMax）共存的滤波器建议，以在某些情况下将干扰减小到可接受的水平。

攻击原理

其实BLESpam攻击的原理非常简单，通过无线电发射功能，发送大量的 BLE 广告包来影响或干扰低功耗蓝牙设备的正常运行。根据对 https://github.com/Flipper-XFW/Xtreme-Apps/blob/dev/ble_spam/ble_spam.c 程序源码的分析，它的原理大概就是：

❝

• BLE 设备经常通过广播来发布它们的服务和可发现性。通过模拟名称、UUID 等，合法的模拟 BLE 设备或发送大量的无效广播包。
• 程序首先初始化 BLE 库和设置，准备发送广告包。
• 定义要发送的广告数据，包括设备名称、服务 UUID。

❝

• 程序进入一个循环，不断发送伪造的 BLE 广告包，以实现对目标区域的 Spam 攻击。

危害

❝

• 大量的 BLE 广告包可能导致 BLE 接收设备（如智能手机、智能穿戴设备等）的 BLE 接收模块饱和，无法正常接收和处理其他重要的 BLE 信息。
• 虽然本工具直接不涉及数据窃取，但干扰 BLE 通信可能间接为其他攻击（如中间人攻击）创造机会，从而增加隐私泄露的风险。

为什么使用 HackRF？

HackRF One支持1Mhz-6Ghz，经过官方文档得知其在2.15Ghz（2150Mhz）-2.75Ghz（2750Mhz）的发射功率是最大的，也是目前能够支撑该技术的最好设备。

必须使用 HackRF？

其实对于国内动辄一千块钱的HackRF来说，只是经济适用和性能的选择罢了。我们也可以使用其他的设备，如Flipper Zero甚至是你的安卓手机。但是就价格来说，Flipper Zero确实让人汗颜，全套 2000 以上的售价其实已经比较高了。为什么不使用安卓手机呢？（其实是因为我本身就一直有一个HackRF One，但是一直吃灰，做重放包攻击什么的用HackRF甚至Flipper Zero有点杀鸡用牛刀了，毕竟某宝几十块钱就能搞定）

小插曲：使用这个 APP 其实我是一直没有成功的，权限也都给足了。

修复

其实这种 BLE 修复并不能做到两全其美，HyperOS 为什么接收不到？因为小米只会授权自己家的协议，而且国外没有对小米这种生态进行测试。所以没有现成的 Payload 供给使用。修复的话，目前我能想到的解决方案就是类似于 IC 卡、防止重放包攻击的原理：滚动码。当然，可能也有我目前没接触过的防御方式，但是我说的不算数，得厂商发话。