Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría y hacking a
dispositivos Bluetooth
Low-Energy (BLE)
Pablo González
@pablogonzalezpe
Whoami
Ingeniero Informático & Máster Seguridad Informática
2009 – 2013 Informática 64
2013 - ?? Telefónica
Director Máster Seguridad de las TIC UEM
Co-fundador de Flu Project
Founder hackersClub
MVP Microsoft 2017-2020
Algunos libros (0xWord):
Metasploit para pentesters
Pentesting con Kali
Ethical Hacking
Got Root
Pentesting con Powershell
Índice
1. Un poco de teoría de BLE
2. Sniffing: Escuchando en mi móvil y en el aire
3. Análisis de PCAP
4. Ataques BLE
5. Suplantación de dispositivos
6. Conclusiones
#CyberCamp19
0.
$> makelab
Antes de empezar…
$>makelab
¿Qué se necesita?
Hardware
2 Micro:Bit
1 Adaptador Bluetooth [Opcional]
1 Dispositivo Android
$>makelab
¿Qué se necesita?
Software
Wireshark
Hcitool / Hciconfig
BtleJack
Bettercap
Gatttool
nRF Connect
#CyberCamp19
1.
Un poco de teoría de BLE
Conceptos básicos
Bluetooth Low-Energy
Es un protocolo inalámbrico
Comunicación entre dispositivos a un nivel muy bajo de consumo y con una
velocidad de transferencia de datos muy baja
Comunicación en la banda de frecuencia de 2.4GHz con tasas de
transferencia de datos de 1Mbps
Bluetooth Low-Energy
3 canales son de ADV -> 37, 38 y 39 (con estos canales podemos decir:
¡Estamos aquí!
Fuente: https://www.flu-project.com/2019/09/puro-ble-ble-ble-bluetooth-low-energy.html
Bluetooth Low-Energy
Fuente: https://nis-summer-school.enisa.europa.eu/2018/cources/IOT/nis-summer-school-damien-cauquil-BLE-workshop.pdf
Bluetooth Low-Energy
¿Algoritmos de salto?
Algoritmo 1
Fuente: https://nis-summer-school.enisa.europa.eu/2018/cources/IOT/nis-summer-school-damien-cauquil-BLE-workshop.pdf
Bluetooth Low-Energy: Diferencia entre Periheral y Central
Fuente: https://nis-summer-school.enisa.europa.eu/2018/cources/IOT/nis-summer-school-damien-cauquil-BLE-workshop.pdf
Bluetooth Low-Energy
Fuente: http://files.brucon.org/2017/012_Damien_Cauquil_Weaponizing_the_BBC_Micro_Bit.pdf
#CyberCamp19
2.
Sniffing
Capturando tráfico
Sniffing
Fuente: https://www.elladodelmal.com/2017/05/bluediot-como-hackear-360fly-action.html
Sniffing: Caso A
Renombrar a .pcap
¿Qué es –w? Vamos a pasar el tráfico por un pipe a Wireshark, para poder
almacenarlo
Sniffing: Caso B
#CyberCamp19
3.
Análisis de PCAP
Entendiendo el
tráfico
Análisis de PCAP
Fuente:
https://learn.adafruit.com/introducing-adafruit-ble-bluetooth-low-energy-friend/ble-gatt
https://www.polidea.com/blog/bluetooth-low-energy-sniffing-guide-part-2/
Análisis de PCAP
Análisis de PCAP
#CyberCamp19
4.
Ataques BLE
Jugando con BLE
Replay
Encontrarla cifrada
Encontrarla no cifrada
Replay
- SmartLock
Crackle -> con LTK y STK todas las comunicaciones entre master y slave
pueden ser descifradas
Crackear: Conexión cifrada
Ataque a la capa de cifrado con btlejack y crackle
#CyberCamp19
5.
Suplantación
Rogue…
Suplantación con Opendrop
BLE_read_state
Suplantación con Opendrop
Adv_airpods
#CyberCamp19
6.
Conclusiones
Fin
Fortificación y cosas a tener en cuenta
Conexiones cifradas (no con PIN)
Se puede hacer replay si los datos transmitidos son fijos y no variantes (con
el tiempo o algún modificador)
Con SDR
BTLE -> https://github.com/JiaoXianjun/BTLE
gr-bluetooth -> https://github.com/greatscottgadgets/gr-bluetooth
RFTap -> https://rftap.github.io
GRACIAS
@CybercampES
#CyberCamp19