BLE 安全之虫洞攻击

最新推荐文章于 2025-10-23 09:39:46 发布
转载 最新推荐文章于 2025-10-23 09:39:46 发布 · 2.6k 阅读 · 9
文章标签:

#Android #Bluetooth #BLE

注:本文为“小米安全中心”原创,转载请联系“小米安全中心”

上期回顾:跨站读取数据小结

0x00 前言

所谓『虫洞』,在天体物理中是通过扭曲空间,连接宇宙遥远区域间的一个隧道,通过穿越这个隧道可以完成『时空穿越』。其实我并不懂天体物理,这些是我 Google 来的。

在 BLE 安全中,有一种攻击近似于『虫洞』,可以在一瞬间让相隔万里的两个设备完成亲密接触。

这种攻击手法在 blackhat USA 2016 由安全研究者 Jasek 进行了阐述,同时 Jasek 公开了一篇详细介绍 BLE 安全的 White Paper『GATTACKING BLUETOOTH SMART DEVICES』和对 BLE 进行安全评估的工具 GATTacker

PS:阅读本文需要有 BLE 基础,限于篇幅,本文不会对 BLE 展开细讲。

0x01 虫洞攻击原理

在谈论虫洞攻击之前让我们先简单了解下 BLE,BLE 是 Bluetooth Low Energy (低功耗蓝牙)的缩写,和传统蓝牙类似,是一种近距离进行设备间无线连接和通讯的协议。BLE 和传统蓝牙除了名字相似外,其架构设计完全不同。BLE 物如其名,其具有极低的功耗,加上其使用简单,成本低廉,深受 IoT 的喜爱,目前在家庭、健康、医疗等领域使用广泛。比如我们所熟悉的手环,就是使用的 BLE 技术。

虽然 BLE 传输距离可以长达 100 米,但其仍然是一种近距离的无线通讯协议,其使用场景仍然需要两个设备进行近距离接触。大部分使用场景如下:

Phone <-- BLE --> Device

假设我们有一种需求是想让 BLE 的传输距离增加到 200 米,那么可以通过下面方式来实现:

Phone <-- BLE --> BLE Relay Device <-- BLE --> Device

我们通过一个 BLE Relay 设备来把 BLE 信号进行中继以达到 200 米的传输距离。更远的距离可以通过增强天线性能或者复用 Relay 设备来实现。

如果是地球的两端呢?应该没有人傻到采用优乐美奶茶绕地球的方式来完成 BLE 的传递。正常的思维会采用下面的方式来实现:

Phone <-- BLE --> BLE Peripheral <-- Tunnel --> BLE Central <-- BLE --> Device

我们通过额外的 BLE Central/Peripheral 设备以及 Tunnel 来完成 BLE 的传递。

放在 BLE 安全攻击模型中,我们可以把 BLE Peripheral <-- Tunnel --> BLE Central 部分称之为『虫洞』,通过『虫洞』来对正常的 BLE 通讯设备完成同一时间点甚至超越时间上的跨时空攻击。

0x02 虫洞攻击实现

实现『虫洞』攻击之前,我们还需要稍微再了解一下 BLE 协议,参考下图的 BLE 协议结构

 BLE 协议结构

BLE 协议有很多部分组成,但是我们主要关注两部分: 

  • GAP(Generic Access Profile)

  • GATT(Generic Attribute Profile)

GAP GAP 用于让两个设备进行连接。GAP 为设备定义多个角色,其中最重要的两个分别是:Central 和 Pheipheral。

  • Pheipheral 发出广播,可以被 Central 设备进行扫描和连接,比如手环;

  • Central 扫描 Pheipheral 设备,并对其进行连接,比如手机;

GATT GATT 用于让两个设备进行连接后的通讯。GATT 定义设备之间通过 Service 和 Characteristic 的东西来进行通讯,不同的 Characteristic 代表设备的不同功能。GATT 的结构如下:

了解了 GAP 和 GATT 之后,再来回忆一下『虫洞』攻击的模型 BLE Peripheral <-- Tunnel --> BLE Central,也就是说我们需要实现三部分功能,分别是 BLE Peripheral、Tunnel、BLE Central。

BLE Central

  • 连接到 Device,获取其所有 Service 和 Characteristic,以及设备名称和 MAC 等信息,通过 Tunnel 传输到 BLE Peripheral,供 BLE Peripheral 伪造 Device。同时保持和 Device 的连接,用于后续对 Device 进行操作;

Tunnel

  • websocket,socket,xmpp、http 等等,whatever,只要能够远程通讯都可以,用于BLE Central 和 BLE Pheipheral 之间数据传输;

BLE Peripheral

  • 接收 BLE Central 传送过来的 Device 相关数据,完全伪造 Device,供 Phone 进行连接。把后续 Phone 对 Device 的操作通过 Tunnel 传输到 BLE Central 端;

最终,BLE Peripheral、Tunnel、BLE Central 三者实现了一个『虫洞』,拉近 Phone 和 Device 之间的距离,使其完成近距离接触。

只要网络可达,不在乎距离多远。

0x03 虫洞攻击相关工具

GATTacker https://github.com/securing/gattacker

Btlejuice https://github.com/DigitalSecurity/btlejuice

具体用法参见文档,具体实现参见代码。

0x04 攻击场景

在谈论『虫洞』时,我们一直在谈论距离,但是在实际的攻击场景中,距离并不是关键,关键的是攻击思想。下面罗列的攻击场景仅供参考

DDoS 在近距离,我们可以通过伪造 Device,使 Phone 强制连接我们伪造的 Device 以达到拒绝服务攻击的目的。

窃听或篡改数据 通过『虫洞』,我们可以洞悉 Phone 到 Device 的数据通讯,必要时候可以对数据进行篡改以达到我们想要的效果。

会话劫持 对于一些设备,通过『虫洞』,可以完成 Device 对 BLE Central 的认证,保持 BLE Central 对 Device 的连接,后续可以任意操作 Device。

当然攻击场景肯定不止上面提到的这三种,可以发散思维,想想还有什么攻击场景? 

0x05 结尾

『虫洞』攻击其实就是 MITM,我并非故意标题党,而是我觉得在 IoT 快速发展的今天,形形色色的使用了 BLE 技术的智能设备已经深入到我们的生活中,并且在影响着我们的生活。手环、智能门锁、无钥匙进入、医疗设备等等,BLE 在为我们提供便利的同时,也埋伏着安全隐患。这种攻击虽然有前置条件,但是一旦发生轻则泄露个人隐私数据,重则造成财产损失,甚至对生命安全产生威胁。

希望本文会被相关从业者看到,能有些许思考。如果能够有些许影响,则更好不过。

0x06 参考资料

蓝牙(bluetooth攻击与防护(二)
waxgourd0的专栏
07-10 5187
上一节内容提到的是蓝牙协议栈的一些内容        现阶段的嗅探和攻击尝试主要基于Backtrack 3的一些现有集成工具,BackTrack是基于Slackware和SLAX的自启动运行光盘,它包含了一套安全及计算机取证工具。它其实是依靠融合Auditor Security Linux和WHAX(先前的Whoppix)而创建成的。BackTrack 4版本之后使用了ubuntu 8.10 的
利用ns2仿真MANET中的攻击
Miner_Sty的博客
07-04 2386
一、攻击原理         (Wormhole)攻击又可称为隧道攻击,它是利用两个相距很远的攻击节点间共谋建立一条高质量高带宽的私有隧道,攻击者在私有隧道一端上记录数据包或位信息,通过此私有隧道将窃取的信息传递到隧道的另一端。因为私有隧道的距离一般远大于单跳无线传输半径,所以通过私用通道传递的数据包比通过正常多跳路径传递的数据包早到达目标节点。由于该隧道的高效特点,周围节点都选择该私有
无线传感器网络攻击防御
ee345的博客
10-19 754
本文提出基于监控邻居节点和节点位置信息的两种防御策略,利用数据包封装技术抵御攻击。通过OMNeT++仿真验证,在静态无线传感器网络中,两种策略均能有效识别并阻断恶意节点的虚假路由,保障数据正常传输,提升网络安全性。
攻击
lgq2016的博客
08-30 4582
(Wormhole)攻击又可称为隧道攻击,它是利用两个相距很远的攻击节点间共谋建立一条高质量高带宽的私有隧道,攻击者在私有隧道一端上记录数据包或位信息,通过此私有隧道将窃取的信息传递到隧道的另一端。因为私有隧道的距离一般远大于单跳无线传输半径,所以通过私用通道传递的数据包比通过正常多跳路径传递的数据包早到达目标节点。由于该隧道的高效特点,周围节点都选择该私有隧道进行数据传递。如图 2-4
攻击(wormhole Attack)
ryanzzzzz的博客
06-28 1356
这样一来,网络中的节点就会产生错误的路由选择,导致网络分区、数据丢失或其他通信问题。:攻击者通过实际物理渠道、先进的无线设备或恶意软件,在网络中创建一个或多个通道。:攻击通常以很快的速度传输数据,绕过正常的网络路由和安全机制。加密和认证:使用强大的加密和认证机制来保护网络通信,防止未经授权的节点进入通道。路由验证:网络节点可以通过验证消息跳数或跳时间,来检测攻击生成的异常路由。监测和响应:持续监测网络中的异常行为,及时识别攻击,并采取相应的响应和对策。
9、物联网安全:挑战、需求与攻击防范
yyy34的博客
09-05 22
本文深入探讨了物联网(IoT)面临的安全挑战,包括资源限制、移动性、数据管理和多协议通信等问题,并分析了由此引发的各类网络威胁,如Mirai僵尸网络和DDoS攻击。文章详细阐述了物联网安全的核心需求,涵盖保密性、完整性、可用性、真实性、隐私保护及不可抵赖性等。基于物联网的分层架构,系统梳理了各层面临的主要攻击类型及其影响,并提出了针对性的应对策略。进一步构建了包含安全策略制定、技术应用与管理措施的多层次防御体系。最后展望了人工智能、区块链和零信任架构在物联网安全中的未来发展趋势,为保障物联网系统的安全稳定运
26、智能大学系统中的物联网安全:技术、漏攻击分析
最新发布
wasm7browser的博客
10-23 14
本文深入探讨了智能大学系统中物联网技术的应用、存在的安全及可能遭受的多种攻击,包括物理、软件、数据和网络层面的威胁。文章进一步提出了加强设备管理、提升网络防护、强化人员培训和建立应急机制等应对策略,并展望了人工智能、区块链和零信任架构在未来智能校园安全中的发展趋势,旨在为构建安全稳定的智能大学系统提供全面参考。
11、物联网通信协议与安全攻击解析
neovim7hacker的博客
07-14 51
本文详细介绍了物联网中常见的通信协议,包括NFC、6LoWPAN、Wi-Fi和Sigfox,分析了它们的特点、应用场景及安全挑战。同时深入探讨了物联网网络中的拓扑攻击类型,如黑攻击攻击,并提出了相应的防御机制。最后,文章对物联网通信协议的发展趋势和未来安全挑战进行了展望,为物联网系统的构建和安全防护提供了实用建议。
物联网通信协议与安全攻击解析
### 物联网通信协议与安全攻击解析 #### 1. 物联网常见通信协议 在物联网(IoT)的世界里,多种通信协议发挥着关键作用,它们各自具有独特的特点和适用场景。 ##### 1.1 近场通信(NFC)协议 - **特点**: - 与...
4、物联网入侵检测系统的机遇与挑战
win55的博客
07-06 53
本文探讨了物联网入侵检测系统的机遇与挑战。随着物联网设备数量的激增,其在智能城市、工业、汽车和医疗等领域的广泛应用也带来了严重的安全问题。文章分析了物联网系统的物理层、网络层和应用层可能面临的攻击类型及其影响,并详细介绍了物联网标准与协议、入侵检测系统(IDS)的分类与检测方法。同时,文章对比了不同IDS架构的优缺点,提出了物联网IDS架构的选择建议及实施步骤,并展望了未来物联网安全的发展趋势,如人工智能、区块链和零信任架构的应用。
What is 攻击
自律即自由
04-14 2135
一、基本概念 攻击是位于网络层中的攻击类型,网络中的两个节点试图从两个比较远的区域建立一条高速隧道,一般情况下,相较于使用原网络,数据沿隧道传输会率先抵达目标区域,从而吸引周边节点流量沿此高速通道进行传输。节点便可窃取或是篡改这条链路之间的消息,以来达到使网络瘫痪网络、窃取或修改信息的目的。 二、实例 以上图为例,区域A与区域B内的黑色的点为正常节点,在正常的情况下a点到c点需要5跳的距离。但是在网络中存在X,Y这两个节点之后,使得a点到C之间的距离就变成的3跳。 在多数无线传感器网.
BLE安全
qq_42604330的博客
09-19 258
BLE分类 SMART READY:支持BR/EDR/LE SMART:只支持LE BLE服务相关的两个组件 1.GAP 2.GATT(BLE数据管理的服务端) 构成 1.配置文件:适应不同的硬件端设备 2.服务:服务类 3.特性:属性、数据 安全问题 通过linux工具包和蓝牙加密狗,可以轻易扫描/连接并读/写BLE设备的数据。 http://object-network.blogspot.com/2014/01/scanning-ble-adverts-from-linux.html https:
基于跳数防御的wsn攻击
qq_41414380的博客
04-14 682
无线传感器网络反应式路由协议AODV协议。 IAODV (Improved AODV) 协议。 **区别:**相比较于AODV协议, IAODV协议增加了源节点路由跳数判断机制和和随机选择路由的攻击防御方案。从网络管理者的角度出发, 不引入额外的硬件辅助, 也不需要节点之间时钟同步。 1 攻击 攻击一般由至少两个相距较远的恶意节点合谋发起, 合谋节点之间建立一条比正常节点间高效的私有信...
基于BLE的IoT智能灯泡的安全利用
weixin_34256074的博客
08-01 408
前言 目前物联网和智能设备已经日益普及,并且当我们谈论物联网时,首先想到的往往是智能家居。智能家居通常涉及各种设备,包括智能冰箱、智能灯泡、电源适配器、水壶、烤面包机、蛋盘,等等。 在这篇文章中,我们将讨论如何接管基于BLE的IoT智能灯泡,与之进行交互,改变颜色,并在这个过程中考察BLE安全机制。 在这篇文章中,我们将要向读者介绍的主题包括: 使...
低功耗蓝牙(BLE攻击分析
学者博客
11-21 4455
前言 蓝牙是一种短距的无线通讯技术,可实现固定设备、移动设备之间的数据交换。可以说蓝牙是当今世界上,最受欢迎和使用最为广泛的无线技术之一。随着物联网的快速发展,蓝牙技术也加速了其发展步伐以适应不断增长的市场和用户需求。蓝牙特别兴趣小组(SIG)正不断努力提高蓝牙的传输速度,以让蓝牙技术更好的融合于各种物联网设备当中。 低功耗蓝牙(BLE)是蓝牙4.0规范的一部分,其包括传统蓝牙和蓝牙高速协议。...
利用新型蓝牙攻击,开走特斯拉 Model 3 和 Model Y
smellycat000的专栏
05-18 997
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士NCC Group 公司的安全研究员开发出一种工具,能够执行蓝牙低能耗 (BLE) 中继攻击,绕过所有现有防护措施,在目标设备上进行认证。BLE 技术用于一系列产品中,包括电子类产品如笔记本电脑、手机、智能锁、楼宇访问控制系统,以及汽车如特斯拉 Model 3和Model Y等不一而足。这种安全问题的修复方案较为负载,即...
探索GATTacker:一款强大的蓝牙低功耗安全测试工具
gitblog_00097的博客
04-14 618
探索GATTacker:一款强大的蓝牙低功耗安全测试工具 在物联网(IoT)时代,蓝牙低功耗(BLEBluetooth Low Energy)技术已经广泛应用于各种智能设备,包括智能手机、可穿戴设备和智能家居等。然而,随着其普及,安全问题也日益突出。是一个开源项目,旨在帮助开发者和安全研究人员测试BLE设备的安全性,发现潜在漏。 项目简介 GATTacker是由Securing公司开发的一个轻...
BLE安全之SM剖析
07-07
BLE(蓝牙低功耗)安全管理器(Security Manager,SM)是BLE协议栈中负责处理安全相关功能的关键部分。它主要负责设备间的配对、绑定以及链路加密等操作,确保通信的安全性与完整性。 ### BLE安全管理器的核心功能 #### 1. 配对过程 BLE的配对分为两个阶段:**配对请求/响应阶段**和**密钥分发阶段**。在配对过程中,设备通过交换配对参数来协商安全级别,并生成用于后续加密的临时密钥(STK或LTK)。 - **第一阶段**:设备之间交换配对请求(Pairing Request)和配对响应(Pairing Response),协商配对方式(如Just Works、Passkey Entry、OOB等)、IO能力以及是否支持MITM保护[^1]。 - **第二阶段**:根据协商的结果进行密钥生成与分发。例如,在LE Legacy Pairing中使用STK(Short Term Key)作为临时密钥,而在LE Secure Connections中则使用更复杂的算法生成长期密钥(LTK)[^2]。 #### 2. 认证机制 BLE SM支持多种认证机制,主要包括: - **Just Works**:适用于无输入输出能力的设备,无法抵抗中间人攻击(MITM)。 - **Numeric Comparison**:双方显示6位数字并让用户确认是否一致,适用于具有显示和输入能力的设备,可抵御MITM。 - **Passkey Entry**:一方输入另一方提供的6位数字,适用于一方有输入能力而另一方有显示能力的情况。 - **Out of Band (OOB)**:利用外部通道(如NFC)传递配对信息,提供更强的安全保障。 #### 3. 密钥管理与存储 在完成配对后,BLE SM会将生成的长期密钥(LTK)、身份解析密钥(IRK)等存储在设备的“绑定数据库”中。这些密钥可用于未来的连接中快速建立安全连接,避免重复配对。 - **LTK(Long Term Key)**:用于加密连接的数据链路。 - **IRK(Identity Resolving Key)**:用于隐私地址解析。 - **CSRK(Connection Signature Resolving Key)**:用于数据签名验证。 #### 4. 加密链路的建立 一旦生成了STK或LTK,BLE控制器就可以通过HCI命令`Set_Connection_Encryption`(0x0013)来启用链路加密[^2]。所有后续的数据传输都会经过AES-CCM加密算法处理,确保数据的机密性和完整性。 #### 5. 安全事件处理 BLE SM还负责处理各种安全相关的事件,包括: - **配对失败重试** - **超时处理** - **绑定信息更新** - **连接中断后的恢复** ### BLE SM的工作流程示意图 ```plaintext +-------------------+ +----------------------+ | Initiator | | Responder | | (Central/Peripheral) |<--------->| (Peripheral/Central) | +-------------------+ BLE Link +----------------------+ | | | 1. Pairing Request | |--------------------------> | | | |<-------------------------- | | 2. Pairing Response | | | | 3. Pairing Confirm (Phase 1)| |--------------------------> | | | |<-------------------------- | | 4. Pairing Random | | | | 5. STK/LTK Generation | | | | 6. Key Distribution Phase | |--------------------------> | | | |<-------------------------- | | 7. Security Setup Complete | | | ``` ### BLE SM的实现细节 - **协议层位置**:BLE SM位于GAP(Generic Access Profile)之上,与L2CAP层交互,控制配对流程和密钥交换。 - **状态机管理**:SM内部采用状态机机制管理整个配对过程,确保每一步都按序执行。 - **错误处理机制**:对于配对失败、超时等情况,SM会触发相应的错误码并通过回调函数通知上层应用。 ### BLE SM的应用场景 - **物联网设备配对**:如智能手表与手机之间的安全连接。 - **医疗设备数据传输**:确保敏感健康数据不被窃取。 - **智能家居控制**:防止未经授权的设备接入家庭网络。 - **支付系统**:如NFC结合BLE进行安全支付。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值