HACKING BLUETOOTH

SEGURIDAD EN TELFONOS MVILES

ALBERTO MORENO TABLADO elblogdegospel@gmail.com

INTRODUCCIN AL ESTNDAR BLUETOOTH

IDENTIFICACIN DE DISPOSITIVOS BLUETOOTH

VULNERABILIDADES Y ATAQUES A TELFONOS MVILES

MARKETING DE PROXIMIDAD BASADO EN BLUETOOTH

ESTNDAR BLUETOOTH DEFINICIN DE BLUETOOTH

QU ES BLUETOOTH?: Bluetooth es la especificacin que define un estndar global de comunicaciones inalmbricas para redes de rea personal que permite la transmisin de voz y datos entre diferentes equipos mediante un enlace por radiofrecuencia en entornos de comunicaciones mviles y estticos. ETIMOLOGA: El nombre Bluetooth procede del rey dans del siglo X llamado Harald Blatand (traducido como Harold Bluetooth), conocido por unificar las tribus en guerra de Noruega, Suecia y Dinamarca e iniciar el proceso de cristianizacin de la sociedad vikinga. HISTORIA: - 1994: Primeros estudios de Ericsson para comunicaciones inalmbricas - 1998: Se funda el SIG Bluetooth

- 1999: Especificacin Bluetooth 1.0 - Posteriormente, sucesivas versiones: 1.1, 1.2 y 2.0.

ESTNDAR BLUETOOTH ESPECIFICACIN DE BLUETOOTH

FRECUENCIA DE RADIO: Bluetooth trabaja a 2.4 GHz de la banda ISM disponible a nivel mundial y que no requiere licencia de operador, lo que significa una compatibilidad universal entre dispositivos Bluetooth. POTENCIA DE TRANSMISIN: se divide en 3 clases de productos: Clase 1: 100 mW, con un rango de ~100 m. Tambin 125 150m. Clase 2: 2.5 mW, con un rango de ~10 m. Clase 3: 1 mW, con un rango de ~1 m. TOPOLOGA DE RED: Bluetooth es una tecnologa de redes PAN (Personal Area Network) Comunicacin stand-alone a nivel mundial entre dos dispositivos Hasta 8 dispositivos se pueden conectar formando una Piconet La unin de varias Piconets se denomina Scatternet DOS TIPOS DE ENLACES: Enlace asncrono sin conexin (ACL) para transmisin de datos. Enlace sncrono orientado a conexin (SCO) para trfico de audio + datos.

ESTNDAR BLUETOOTH DISPOSITIVOS BLUETOOTH

BLUETOOTH presente en multitud de dispositivos de la vida cotidiana:

ESTNDAR BLUETOOTH PILA DE PROTOCOLOS BLUETOOTH

2 ZONAS: MDULO Bluetooth: Encargado del interfaz de radiofrecuencia HOST Bluetooth: Encargado de las capas superiores de enlace y aplicacin

Host Bluetooth (software)

Mdulo Bluetooth (hardware)

ESTNDAR BLUETOOTH BLUEZ: LA PILA DE PROTOCOLOS BLUETOOTH PARA LINUX

Sobre la pila de protocolos especficos de Bluetooth cada fabricante puede implementar su capa de protocolos de aplicacin propietarios. Windows Stacks: Widcomm, Toshiba, Microsoft Windows XP, IVT Bluesoleil Linux Stacks: BlueZ, OpenBT, Affix (Nokia) BlueZ, adecuada para auditora de seguridad en dispositivos Bluetooth Proyecto Open Source http://www.bluez.org Incluye un conjunto de herramientas para funciones Bluetooth Bluepin: Gestin de suminitro del PIN en emparejamientos Hciconfig: Configuracin de dispositivos Bluetooth locales Hcidump: Sniffer local de trfico HCI Hcitool: Gestin del descubrimiento y enlace con otros dispositivos L2ping: Envo de solicitudes echo request a nivel L2CAP Rfcomm: Gestin de conexiones RFCOMM Sdptool: Gestin de SDP y descubrimiento de servicios Bluetooth Proporciona libreras para el desarrollo de aplicaciones bluez-libs-devel

ESTNDAR BLUETOOTH MECANISMOS DE SEGURIDAD EN BLUETOOTH

AUTENTICACIN: es el proceso por el cual un dispositivo Bluetooth verifica su identidad en otro dispositivo para poder acceder a los servicios que ofrece. EMPAREJAMIENTO DE DISPOSITIVOS: Intercambio de PIN Generacin de la clave de enlace (linkkey)

AUTORIZACIN: es el procedimiento que determina los derechos que tiene un dispositivo Bluetooth para acceder a los servicios que ofrece un sistema. Se gestiona mediante LISTA DE DISPOSITIVOS DE CONFIANZA DISPOSITIVOS DE CONFIANZA: acceso sin restricciones DISPOSITIVOS NO CONFIABLES: requieren autorizacin CIFRADO DE DATOS: garantiza la confidencialidad de la informacin transmitida sobre un enlace Bluetooth CLAVE DE CIFRADO

ESTNDAR BLUETOOTH COMANDOS AT

Los COMANDOS AT GSM son un juego de instrucciones codificadas que permiten configurar el telfono mvil. Basados en los comandos AT - Hayes para configuracin de modems (1977) Permiten establecer una configuracin en el terminal y enviarle instrucciones a ejecutar El soporte viene dado por el equipo, los comandos son ejecutados con independencia del canal de comunicaciones: Bluetooth, IrDA, Puerto Serie, En Bluetooth se accede a la capa de comandos AT a travs de RFCOMM Algunos ejemplos: AT+CGMI: Identificacin del fabricante AT+CGMM: Identificacin del modelo AT+CPBR=1: Devuelve la primera entrada en la agenda de contactos AT+CPBS=MC;+CPBR=1: Devuelve la ltima llamada perdida AT+CMGR=1: Devuelve el primer mensaje SMS en bandeja de entrada ATD619000000;: Realiza una llamada de voz a un nmero de telfono AT+CCFC=0,3,+34619000000,145,7: Configura un desvo de llamadas Implementacin de los comandos AT en los telfonos se hace por bloques: Bloque bsico: Informacin y configuracin del terminal, llamadas. Bloque de gestin de la agenda de contactos: leer, aadir, eliminar, Bloque de gestin de mensajes SMS: leer, eliminar, enviar,

ESTNDAR BLUETOOTH COMANDOS AT

Una sesin de comandos AT sigue el modelo peticin / respuesta

INTRODUCCIN AL ESTNDAR BLUETOOTH

IDENTIFICACIN DE DISPOSITIVOS BLUETOOTH

VULNERABILIDADES Y ATAQUES A TELFONOS MVILES

MARKETING DE PROXIMIDAD BASADO EN BLUETOOTH

IDENTIFICACIN DE DISPOSITIVOS QU SE ENTIENDE POR IDENTIFICACIN?

La IDENTIFICACIN DE DISPOSITIVOS comprende el conjunto de actividades que permiten obtener informacin relevante de un dispositivo Bluetooth remoto. INFORMACIN PBLICA: Estado de visibilidad del dispositivo: Visible / Oculto Nombre del dispositivo Fabricante del chip Bluetooth Naturaleza del equipo

Servicios ofrecidos por el dispositivo / Perfiles Bluetooth disponibles

INFORMACIN IMPLCITA: Marca y modelo del dispositivo

IDENTIFICACIN DE DISPOSITIVOS INFORMACIN PBLICA DEL DISPOSITIVO (1)

DETECCIN DE DISPOSITIVOS: Proceso de descubrimiento de equipos situados dentro del radio de cobertura de nuestro mdulo Bluetooth. DETECCIN DE DISPOSITIVOS EN MODO VISIBLE O DISCOVERABLE Responsabilidad de la capa HCI El equipo origen enva paquetes inquiry y se mantiene en espera Los equipos destino en modo visible cambian a estado inquiry_response y envan una respuesta con su direccin MAC y otros parmetros Los equipos destino en modo oculto nunca entran en modo inquiry_response DETECCIN DE DISPOSITIVOS EN MODO OCULTO O NON DISCOVERABLE Que no se vea no significa que no est ah Ciertos paquetes Bluetooth obligan al dispositivo que los recibe a devolver una respuesta independientemente de su estado de visibilidad (Ejemplo: La funcin de resolucin de nombre: hci_read_remote_name) Tcnica: Ataque por fuerza bruta a un rango de direcciones MAC - Redfang

IDENTIFICACIN DE DISPOSITIVOS INFORMACIN PBLICA DEL DISPOSITIVO (3)

IDENTIFICACIN DEL TIPO DE DISPOSITIVO Naturaleza del equipo Cada dispositivo incorpora en la cabecera de nivel Banda Base de sus paquetes el campo Class of Device, que consta de dos subcampos: MAJOR DEVICE CLASSES: identifica el tipo genrico de dispositivo MINOR DEVICE CLASSES: identifica el tipo especfico de dispositivo Spec: https://www.bluetooth.org/foundry/assignnumb/document/baseband

IDENTIFICACIN DE DISPOSITIVOS INFORMACIN PBLICA DEL DISPOSITIVO (4)

EJEMPLO DE IDENTIFICACIN DEL TIPO DE DISPOSITIVO
0x320114 representadoenbinarioes 001100100000000100010100
MAJOR MINOR

N bit:2322212019181716151413|121110090807|0605040302|0100 Valor: 0 0 1 1 0 0 1 0 0 0 0 | 0 0 0 0 1 0 | 0 0 1 0 1 | 0 0

IDENTIFICACIN DE DISPOSITIVOS INFORMACIN PBLICA DEL DISPOSITIVO (5)

DESCUBRIMIENTO DE SERVICIOS: Capacidad de buscar y encontrar servicios disponibles en dispositivos Bluetooth. A travs de los servicios, dos dispositivos pueden ejecutar aplicaciones comunes e intercambiar datos. Responsabilidad del SDP (Service Discovery Protocol) SERVICE CLASS (Clase de servicio) Describe los servicios genricos soportados por un dispositivo A travs del campo Class of Service Spec: https://www.bluetooth.org/foundry/assignnumb/document/baseband

IDENTIFICACIN DE DISPOSITIVOS INFORMACIN PBLICA DEL DISPOSITIVO (6)

SERVICE RECORD (Registro de servicio) Describe los atributos de un determinado servicio: nombre, descripcin, canal, 2 tipos de operaciones SDP relacionadas con el descubrimiento de servicios: Bsqueda de servicios: encontrar dispositivos que ofrecen un servicio Enumeracin de servicios: conocer los servicios que ofrece un dispositivo

IDENTIFICACIN DE DISPOSITIVOS BLUEZSCANNER

BLUEZSCANNER es un sencillo escner de dispositivos Bluetooth basado en BlueZ Se distribuye libremente bajo licencia GNU. Implementa las siguientes funciones: Descubrimiento de dispositivos Bluetooth cercanos Resolucin del nombre de dispositivo Fabricante del chip Bluetooth incorporado Identificacin de la naturaleza del equipo Descubrimiento de servicios / perfiles bluetooth

Ms info: el Blog de Gospel

DEMO 1 BLUEZSCANNER

INTRODUCCIN AL ESTNDAR BLUETOOTH

IDENTIFICACIN DE DISPOSITIVOS BLUETOOTH

VULNERABILIDADES Y ATAQUES A TELFONOS MVILES

MARKETING DE PROXIMIDAD BASADO EN BLUETOOTH

ATAQUES A TELFONOS MVILES POR QU ES IMPORTANTE CUIDAR LA SEGURIDAD?

EL TELFONO MVIL... INSTRUMENTO INDISPENSABLE DE COMUNICACIN CON OTRAS PERSONAS Necesidad de disponibilidad en todo momento Realizar / recibir llamadas Enviar / recibir SMS CONTIENE INFORMACIN CONFIDENCIAL Agenda de contactos (n de telfonos e incluso direcciones) Mensajes SMS/MMS con contenidos personales Calendario de citas Multimedia: fotografas, videos, grabaciones de voz, ... Nuevos contenidos y mayor capacidad: emails, contraseas almacenadas, ... RIESGOS Consumo del saldo: llamadas de voz, GPRS, envo de SMS, ... Acceso a informacin confidencial: lectura, modificacin, borrado. Inutilizacin temporal del terminal (Denial of Service)

ATAQUES A TELFONOS MVILES TIPOS DE ATAQUES

BLUESNARFING: Snarf: Acceso, robo, copia de ficheros de datos del telfono mvil Agenda de contactos, calendario de citas, imgenes, ... EJECUCIN DE COMANDOS AT Precedente: Ataque Bluebug Comandos AT, juego de instrucciones que permiten configurar el telfono Permiten realizar llamadas, acceso a agenda de contactos y mensajes SMS, Control total del terminal, equivale a obtener una shell de comandos en un PC ATAQUES DoS Denial of Service (Denegacin de Servicio) Generalmente se deben a desbordamientos de bfer: Ping of the Death, ... Inutilizacin temporal del telfono: bloqueo, reinicio del terminal o cuelgue de servicios SPAM / BLUEJACKING Envo de archivos sin consentimiento: vCard, publicidad comercial, ... Requiere autorizacin para recibir el archivo, se puede evitar Ms que un ataque es una molestia, si se padece en exceso

ATAQUES A TELFONOS MVILES TIPOS DE ATAQUES

1) ATAQUES A LOS PRIMEROS TELFONOS MVILES BLUETOOTH Vulnerabilidades basadas en implementacin incorrecta de los fabricantes Ataque BLUESNARF Ataque BLUEBUG Ataque HELOMOTO

2) ATAQUES A TELFONOS MVILES BLUETOOTH ACTUALES No hay vulnerabilidades importantes, los fabricantes se preocupan Tendencia actual: Saltarse las mecanismos de seguridad de Bluetooth Ataque BLUELINE Ataque BLUE MAC SPOOFING

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ANTIGUOS: BLUESNARF

El ataque BLUESNARF se basa en la extraccin de archivos de un telfono mvil Bluetooth a travs del Perfil de Carga de Objetos (OBEX Object Push) sin autorizacin del usuario propietario. El Perfil de Carga de Objetos (OPUSH, Object Push Profile) permite la carga y descarga de objetos de datos entre dispositivos Bluetooth. La vulnerabilidad se basa en una implementacin incorrecta del Perfil de Carga de Objetos, que carece de mecanismos de autenticacin y autorizacin, y que permite a un atacante descargarse archivos de nombre conocido, como la agenda de contactos almacenada en el terminal o el calendario de citas.

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ANTIGUOS: BLUEBUG

BLUEBUG es una vulnerabilidad que permite a un atacante establecer una conexin RFCOMM a un canal oculto sin necesidad de autenticacin y ejecutar comandos AT en el telfono comprometido. Explotando esta vulnerabilidad, un atacante podra realizar las siguientes funciones: Informacin bsica: Marca, modelo, IMEI, Llamadas de voz, desvo de llamadas, Agenda de contactos: Leer, escribir, borrar, Agenda de llamadas: ltimas llamadas perdidas, recibidas o realizadas. SMS: Leer bandeja de entrada, escribir y enviar, borrar,

DEMO 2 ATAQUES A TELFONOS MVILES ANTIGUOS: BLUEBUG

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ANTIGUOS: HELOMOTO

HELOMOTO es un ataque que slo afecta a telfonos mviles Motorola La vulnerabilidad se basa en una implementacin incorrecta de la gestin de la lista de dispositivos de confianza. El ataque se desarrolla del siguiente modo: El atacante inicia una conexin al Perfil de Carga de Objetos (OBEX Object Push) con la intencin de enviar una tarjeta de visita o vCard. De forma automtica el dispositivo atacante es aadido a la lista de dispositivos de confianza del terminal, aunque la conexin no finalice con xito. Con su equipo incluido en la lista de dispositivos de confianza, el atacante puede conectarse a perfiles que requieran autorizacin, como el Perfil de Pasarela de Voz (Voice Gateway Profile). Una vez establecida la conexin con el Perfil de Pasarela de Audio, el atacante puede acceder a la ejecucin de comandos AT en el telfono mvil.

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ACTUALES

En los telfonos mviles actuales la seguridad se visto mejorada notablemente: Casi la totalidad de los servicios requiere autenticacin. Las excepciones son algunos servicios en los que se omite este nivel de seguridad por comodidad del modelo de uso, como el Perfil de Carga de Objetos (OBEX Object Push) o el Perfil de Pasarela de Voz (Voice Gateway Profile). Todos los servicios requieren autorizacin. Si un dispositivo no confiable intenta conectarse a cualquier servicio, el usuario recibir una notificacin en pantalla para que autorice dicha conexin explcitamente. Algunos modelos, como los nuevos telfonos mviles Motorola, deniegan automticamente cualquier intento de conexin proveniente de cualquier equipo no incluido en el histrico de dispositivos conectados anteriormente.

TENDENCIA ACTUAL: Intentar saltarse los mecanismos de seguridad de Bluetooth Engaando al usuario para que autorice la conexin: Ataque BLUELINE Suplantando a otros equipos de confianza: Ataque BLUE MAC SPOOFING

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ACTUALES: BLUELINE

BLUELINE es un ataque que afecta a telfonos mviles Motorola como RAZR o PEBL El objetivo del ataque BLUELINE es saltarse la autorizacin de acceso al Perfil de Pasarela de Voz (Voice Gateway Profile) y poder ejecutar comandos AT en el telfono mvil. En los telfonos mviles actuales, el mecanismo de autorizacin exige que todo dispositivo no confiable sea autorizado explcitamente por el usuario para permitir el acceso a los servicios que requieran este nivel de seguridad.

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ACTUALES: BLUELINE

El ataque BLUELINE permite provocar una falsificacin o spoofing del interfaz sustituyendo el mensaje original por un texto malicioso capaz de engaar al usuario. La falsificacin se consigue explotando un tratamiento incorrecto del juego de caracteres en el sistema operativo al incluir el carcter de escape 0x0d en el nombre del dispositivo atacante. hciconfig hci0 name `perl -e 'print "Pulse\x0daceptar\x0dpara\x0ddeshabilitar\x0dsilencio\x0d\x0d"'` Si el usuario cae en el engao, aceptar la conexin al Perfil de Pasarela de Voz y el atacante dispondr de autorizacin para ejecutar comandos AT en el terminal.

DEMO 3 ATAQUES A TELFONOS MVILES ACTUALES: BLUELINE

ATAQUES A TELFONOS MVILES ATAQUES A TELFONOS MVILES ACTUALES: BLUE MAC SPOOFING
El ataque BLUE MAC SPOOFING permite a un atacante suplantar la identidad de un dispositivo de confianza para atacar un telfono mvil y utilizar sus credenciales para acceder a servicios que requieren autenticacin y/o autorizacin. El ataque BLUE MAC SPOOFING se puede desarrollar en dos niveles: Suplantacin de la direccin MAC de un dispositivo de confianza para acceder a servicios que requieren autorizacin. Suplantacin de la direccin MAC de un dispositivo de confianza y obtencin de la clave de enlace (linkkey), generada durante el emparejamiento del dispositivo suplantado con el telfono mvil, para acceder a servicios que requieren autenticacin. El principal inconveniente es que los adaptadores Bluetooth convencionales no permiten modificar la direccin MAC del mdulo.

DEMO 4 ATAQUES A TELFONOS MVILES ACTUALES: BLUELINE

INTRODUCCIN AL ESTNDAR BLUETOOTH

IDENTIFICACIN DE DISPOSITIVOS BLUETOOTH

VULNERABILIDADES Y ATAQUES A TELFONOS MVILES

MARKETING DE PROXIMIDAD BASADO EN BLUETOOTH

MARKETING DE PROXIMIDAD ESO QU ES LO QUE ES?

Se denomina MARKETING DE PROXIMIDAD BASADO EN BLUETOOTH al envo de contenidos de informacin y publicidad a telfonos mviles Bluetooth. Marca corporativas: Estrategia de promocin y publicidad Instituciones: Envo de informacin en puntos de inters general Se sitan HotSpots en puntos estratgicos de elevado trnsito de personas Alcance de ~100m Se envan archivos a travs del Perfil de Carga de Objetos (OBEX Object Push) No necesita autenticacin, los usuarios slo deben autorizar el envo Los objetos de informacin son de diversa naturaleza: Archivos de texto Imgenes Archivos de audio y tonos Videos Paquetes instalables (.sis, .jar, ) Algunos HotSpots inteligentes son capaces de identificar la marca y el modelo del telfono objetivo y adaptar el contenido del objeto a los formatos soportados

IDENTIFICACIN DE DISPOSITIVOS BLUEZSPAMMER

BLUEZSPAMMER es un sencillo HotSpot basado en BlueZ capaz de enviar archivos a telfonos mviles Bluetooth con soporte para el Perfil de Carga de Objetos (OBEX Object Push) Se distribuye libremente bajo licencia GNU. Implementa las siguientes funciones: Descubrimiento de dispositivos Bluetooth cercanos Filtro de telfonos mviles y smart phones Modo Demo, solo descubre dispositivos susceptibles de recibir spam Filtro de cdigos MAC de fabricantes de chips Bluetooth Envo de archivos a travs del Perfil de Carga de Objetos con ObexPush

Ms info: el Blog de Gospel

DEMO 5 BLUEZSPAMMER

MARKETING DE PROXIMIDAD PROYECTO TROYANO BLUETOOTH

El proyecto persigue el desarrollo de una aplicacin troyano para sistemas Symbian Serie s60.

Se trata de un proyecto de desarrollo conjunto de El objetivo es concienciar a la gente de que el Marketing de Proximidad puede ser utilizado como una estrategia de envo masivo de aplicaciones maliciosas y virus. Promovemos mantener una actitud prudente a la hora de aceptar envos a nuestro telfono mvil provenientes de fuentes desconocidas, aunque en apariencia parezcan de confianza. El proyecto ser una Prueba de Concepto, con el fin de demostrar que se podra desarrollar una aplicacin con interfaz amigable pero que por debajo ejecute acciones maliciosas que perjudiquen al usuario. La plataforma de desarrollo ser Symbian C++ para telfonos mviles Serie s60, muy extendidos.

MARKETING DE PROXIMIDAD PROYECTO TROYANO BLUETOOTH

El interfaz de la aplicacin troyano mostrar contenidos de ocio y publicidad de una importante marca corporativa. La accin maliciosa consistir en: Aadir a la lista de dispositivos emparejados en el telfono mvil objetivo una direccin MAC predefinida Especificar una clave de enlace predefinida Marcar esa direccin MAC como dispositivo de confianza Si la accin se lleva a cabo con xito, el atacante podr utilizar la direccin MAC y clave de enlace predeterminadas para acceder a servicios del telfono mvil comprometido sin necesidad de autenticacin o autorizacin.

Advertencias: El desarrollo de la aplicacin troyano se realizar con fines didcticos y ticos. No se publicar el cdigo fuente de la aplicacin, pero s que se liberar una versin de Prueba de Concepto capada.

CONCLUSIONES

Bluetooth es un estndar de comunicaciones robusto y seguro. Las fallas de seguridad se encuentran en la implementacin de los fabricantes en los productos que comercializan. Con el tiempo, la seguridad mejora y resulta ms difcil encontrar vulnerabilidades. En caso de encontrar vulnerabilidades, el impacto es muy grande ya que es complicado proteger los dispositivos Bluetooth mediante parches de actualizacin. RECOMENDACIONES DE SEGURIDAD: Desactivar Bluetooth mientras no se utilice Configurar el dispositivo en modo oculto, para que no pueda ser descubierto por atacantes No aceptar conexiones de dispositivos no conocidos

LINKS

el Blog de Gospel
http://gospel.endorasoft.es

Bluehack: the Spanish Bluetooth Security Group

http://bluehack.endorasoft.es

Foro de Bluetooth en elhacker.net

http://foro.elhacker.net

Trifinite Group
http://trifinite.org

Digital Munition
http://www.digitalmunition.com

BlueZ: la pila de protocolos Bluetooth oficial para Linux

http://www.bluez.org

DUDAS