詳解藍牙Bluebugging攻擊技術

詳解藍牙Bluebugging攻擊技術

    目前流行的藍牙協議版本應該是2.0和2.1，但作為2005年以前生產的手機、PDA等便 攜式設備，普遍使用的是1.1版本。而無論是早期的藍牙1.1還是現在的藍牙2.0，都已經被 公布出是存在漏洞和潛在攻擊隱患的。至於這些漏洞的具體內容是什麼，又如何表現，本節 就來講述較為有名的Bluebugging攻擊。 13.3.1  基本概念
    1．關於Bluebugging攻擊
    Bluebugging允許惡意攻擊者利用藍牙無線技術通過連接手機隱藏且未經保護的頻道， 在事先不通知或提示手機用戶的情況下訪問手機命令。此缺陷可以使惡意的攻擊者通過手機 撥打電話、發送和接收短信、閱讀和編寫電話簿聯系人、偷聽電話內容以及連接至互聯網。 雖然現在很多智能手機已基本不受其影響，但是仍舊有大量的手機面臨此類攻擊的威脅，比 如一些采用MTK解決方案的國產手機。
    2．何謂MTK
    目前市場上主流的平台有TI、摩托羅拉、飛利浦、MTK、ADI、展訊、英飛凌、凱明 等。一般來說，在服務方面所有手機平台沒有特別大的差別。MTK公司的產品因為集成較 多的多媒體功能、容易開發的特點及較低的價格在手機公司和手機設計公司待到廣泛的應 用。MTK全名MediaTek，是我國台灣聯發科技多媒體芯片提供商研制的一種高度集成的多 媒體基帶芯片方案，是一個主要應用於手機的廉價解決方案。
    對消費者來說買MTK方案的手機主要是因為功能多價格便宜。雖然MTK曾一度被戲 稱為黑手機，但很多手機廠商都是用MTK的方案，因為其縮短了產品研發周期，使得手機 廠商能夠更加靈活地應對市場多變的需求。雖然MTK有很多缺點，但是該解決方案的實際 表現證明了其強大的生命力，龐大的市場占有率和銷量都是其他平台所無法企及的。MTK 並不像很多人認為的那樣僅僅是黑手機的標志，即使是MTK手機也是有區別的。品牌手機 無論是在做工還是保修上肯定要比一些低端手機生產廠商拼裝的黑手機強得多。而這些廠家 生產的MTK手機其外觀常與某些大品牌的手機產品類似，甚至在名稱上也使用了Nokai、 Anycoll等相似名稱來迷惑消費者，圖13-55所示為某MINI手機。而圖13-56為所示的手機 是D899，外觀上與時下流行的iPhone相似。

 圖13-55    圖13-56

本節中的內容適用對象也包含了使用MTK芯片的部分手機，這一點請大家注意，

13.3.2工具准備
    大多數的藍牙工具在Linux下默認已安裝，如hciconfig、hcitool等，主要需要安裝的是 minicom這款Linux下的終端工具。
    Linux下的minicom的功能與Windows下的超級終端功能相似，可以通過串口控制外部 的硬件設備。適於在Linux通過超級終端對嵌入式設備進行管理。同樣也可以使用minicom 對外置Modem等進行控制。對於BackTrack4 Linux的用戶來說，minicom已經內置安裝完 畢無須再下載。
    對於Linux下的用戶，可以從http://alioth.debian.org/projects/minicom/下載minicom的安 裝包至本地再安裝。
    至於Linux下的具體安裝命令，參考如下：

13.3.3攻擊步驟
    下面以目前在國內廣泛流行的低端手機為例來演示Bluebugging 攻擊。如圖13-57所示，作為本節演示用的低端手機名為Anycoll， 與三星Anycall品牌中的某一款型極其相近。這款用於測試的低端手 機采用的就是MTK芯片。
   

關於Bluebugging攻擊的具體步驟如下：
    掃描藍牙設備。
    在載入藍牙適配器後，就可以對周邊開啟籃牙的移動設備進行    圖13-57 掃描了，具體命令如下：

按IEnter]鍵後即可看到圖13-58所示的內容，可以看到發現一個名為MTKBTDEVICE 的設備，該設備即為測試用的低端手機，這個名稱是其內置的藍牙芯片名稱，其中，MTK 表示出其芯片廠商，而BT即Bluetooth的縮寫，DEVICE就是設備的縮寫。
    一般在搜索到開啟藍牙功能的設備後，會使用L2ping測試與該設備的藍牙模塊之間是 否數據可達，具體命令如下： 

  按【Enter]鍵後即可看見圖13-58所示的內容，會顯示出類似於“6 sent，6 received， 0% loss”的提示，即“發送6個包，收到6個包，沒有丟失”的意思。 圖13-58

   查找串行端口服務。

為了獲取手機的控制權，需要連接目標設備的串行端口。所以需要通過藍牙來搜索關於 串行端口的服務。這裡需要使用到sdptool工具，這裡使用的具體命令如下：   

其中，browse用於浏覽所有可用服務，主要是列出所有隱藏的服務內容、工作頻道等。   按IEnter]鍵後可以看到出現了詳細的服務列表，這些都是該手機設備支持的服務內容， 如圖13-59所示。
    對於攻擊者而言，需要找到串行端口即Serial Port的信息，在sdptool命令返回的內容 中查看，即可看到名為Serial Port的內容，其中，主要需留意的是Channel即頻道的數值。 如圖13-60所示，這裡的Channel為10，即串口使用的隱藏頻道是10。

圖13-59 圖13-60  

 配置藍牙連接設置。

接下來需要對Ubuntu下的藍牙配置文件進行修改和設置，具體命令如下： 

   在上述命令中，nano是Linux下一款工作在Shell下的編輯工具，rfcomm.conf別是藍牙 連接的配置文件。按IEnterl鍵後即可看到圖13-61所示的內容，當然，對於之前很少在 Linux下使用藍牙的讀者，實際看到的內容可能與圖13-61所示的稍有偏差，請將原始的配 置文件內容修改成與圖13-61所示的一致。其中，在device後面輸入需要連接的目標藍牙設 備MAC，這裡就是上面使用hcitool搜索到的藍牙設備MACo然後在channle後面輸入Serial Port的頻道數值，這裡就是上面使用sdptool 列出的內容，即10頻道。
    配置完畢後，按ICtrl+X】組合鍵退 出，注意選擇Y保存。然後開始配置設備的 映射：    其中，bind綁定在某一個設備上，這裡 指與目標藍牙設備之間建立映射關系，也就 是rfcomm0指代目標設備。   按LEnterl鍵後就可以開始配置終端工具 nurucom。 圖13-61

配置minicom。

◇在使用minicom連接之前，需要先對串口進行設置，具體命令如下：