浅谈蓝牙安全

简介

官网：https://www.bluetooth.com/
蓝牙(Bluetooth)是一个短距离无线传输的技术，工作在免证的ISM频段。最初名字为Wibree，在90年代由Nokia设计开发，随后转交给蓝牙特别兴趣小组(SIG)专门维护。

为什么叫蓝牙？

为该技术命名时，来自英特尔的蓝牙技术开发者Jim Kardach提到国王Harald 统一了纷争不断的丹麦部落，就像他们想用该短距离无线电技术统一无线领域一样，而Harald 国王有一个坏牙是蓝色的，所以绰号蓝牙

蓝牙分类

蓝牙经过不断的发展已经发展到了版本5.3，按照版本来划分可以为：

经典蓝牙（泛指蓝牙协议在4.0以下）Classic Bluetooth
- BR（Basic Rate，基础速率）
- EDR（Enhanced Data Rate，增强数据速率）
低功耗蓝牙（指支持蓝牙协议4.0或更高的模块）Bluetooth Low Energy
蓝牙双模模块（支持蓝牙所有版本，兼容低功耗蓝牙以及经典蓝牙）

蓝牙连接过程

Step 1 蓝牙扫描 Inquiry

Inquiry（直译为查询）就是蓝牙信息发现的过程，目标设备必须处于Discoverable的状态下，才能被周边设备扫描到。在Inquiry之后会得到目标设备的蓝牙MAC地址。换句话说如果已经知道蓝牙MAC地址，其实是不需要执行Inquiry操作的。

Step 2 蓝牙连接 Page

Page过程会建立蓝牙物理链路，也称为ACL Link，目标设备必须处于Connectable的状态下，才会接受连接。在Page的过程中会协商很多参数，例如蓝牙版本和MTU等，最重要的是要交换CHANNEL_MAP参数，该参数使得通信双方可以进行可靠的跳频，而不至于丢失连接。

Step 3 蓝牙配对 Pairing

在蓝牙物理连接建立后，可由一方发起配对请求，从而进入蓝牙配对流程，目标设备必须处于Pairable的状态下，才会接受连接。配对流程由安全管理器（Security Manager, SM）完成。第一步是交换安全参数，以确定配对方法
BR/EDR的配对方法有

BR/EDR Legacy Pairing：蓝牙2.0引入，只保护机密性，不保护完整性
Secure Simple Pairing：蓝牙2.1引入，对Legacy Pairing进行了增强，使用链路密钥（Link Key）加密通信链路
BR/EDR Secure Connections：蓝牙4.1引入，能保护机密性和完整性，使用长期密钥（LTK）加密通信链路

BLE的配对方法有

LE Legacy Pairing：蓝牙4.0引入，和Secure Simple Pairing比较类似，使用短期密钥（STK）加密通信链路
LE Secure Connections：蓝牙4.2引入，将BR/EDR Secure Connections移植到了BLE上，同样使用长期密钥（LTK）加密通信链路

可以看到经过不断的迭代，在4.2以后BLE和BR/EDR统一了配对流程，称为Secure Connection，其在SSP的基础上进行了安全性的增强。

Step 4 蓝牙绑定 Bonding

在蓝牙配对流程的Pairing Request和Pairing Response报文中，可以设置Bonding Flags（BF）标志位为01，这样双方就会存储上述用于加密链路的密钥（Link Key, STK, LTK）并通过密钥分发生成IRK以备未来使用。
生成IRK就意味着在双方之间创建了永久安全性（就像是你配对了一次蓝牙耳机，后面打开蓝牙都能直接连接使用），直到用户取消绑定删除IRK为止。显然必须要在配对之后才能执行绑定。

BLE核心概念

GAP 通用访问配置文件（Generic Access Profile）

GAP用于设备连接和广播通信。GAP负责蓝牙设备对外可见性，并在决定设备如何与其他设备交互时起重要作用

GATT 通用属性配置文件（Generic Attribute Protocol）

GATT使用一种称为属性协议的通用数据协议，它定义了两个BLE设备如何使用服务和属性两个概念进行数据交换。该协议使用蓝牙技术联盟指定的16 位 ID 将所有服务和属性存储在查找表中。需要注意的是，GATT 只有在 GAP 广播流程结束之后才能初始化。

蓝牙安全威胁

信息泄露

收集周边蓝牙的相关信息，下面的工具部分功能有重叠

设备发现

BlueSniff

项目仓库：https://github.com/0x646e78/bluesniff
不过该项目已经很久没更新了
Bluesniff可以在以下两种模式之一中查找BlueTooth设备：

正常扫描 - 仅查找可发现的设备
蛮力扫描 - 使用redfang蛮力猜解MAC地址（关于redfang，它的项目地址是：https://github.com/deltj/redfang）
情报收集

bluescan 为 Hacking 而生的蓝牙扫描器

项目仓库：https://github.com/fO-000/bluescan
主要功能如下：

BR 设备扫描
LE 设备扫描
BR LMP 特性扫描
LE LL 特性扫描
SMP Pairing 特性扫描
嗅探 advertising physical channel PDU
SDP 服务扫描
GATT 服务扫描
数据嗅探

数据嗅探需要有蓝牙适配器

项目仓库：https://github.com/greatscottgadgets/ubertooth
Ubertooth需要与它的BLE蓝牙嗅探器配套使用
浅谈蓝牙安全

拒绝服务

常见的针对蓝牙的拒绝服务分为三类

L2ping DOS攻击

L2ping类似于PING，能够发送L2CAP回显请求并接收回答，检查链接并测量往返时间。L2CAP（逻辑链路控制及自适应协议层）是一个复用层，可以让低功耗蓝牙复用三条不同的信道
利用工具：

https://github.com/crypt0b0y/BLUETOOTH-DOS-ATTACK-SCRIPT
https://github.com/deadlysnowman3308/BT-ddos-tool
鉴权 DOS攻击

类似于手机输入解锁密码，上一次鉴权失败到下一次可以发起鉴权期间，第三方通过伪装发起故意使鉴权失败，从而使间隔时间持续上升，直到达到允许的最大值，在此期间双方不能进行正常的鉴权。

Obex文件 DOS攻击

Obex为Object Exchange，用于在蓝牙设备间传输对象。该攻击方式通过不断快速地给远程蓝牙发送文件，而远程设备被大量的是否要接收该文件的命令冲击到瘫痪。

针对蓝牙的拒绝服务存在以下危害：

影响设备的正常运行
设备被攻击者击溃
所有者无法操作设备
耗尽设备的电池
等等

数据窃听

PIN码破解

在老版本蓝牙2.0协议中，配对过程需要输入一个PIN码，长度可以从4到16个数字（很多设备默认为0000或者1234），4位PIN码破解仅仅需要0.06秒，8位暴力攻击不到两个小时就能破解。
而BLE配对过程中在某些情况下存在缺陷，允许攻击者暴力破解TK（临时密钥），通过配对过程中手机的TK和其他数据，
破解PIN码后，通过嗅探包中间计算的值得到Linkkey以及EncryptionKey，用于以后的配对和通信解密，实现蓝牙信息的窃听
相关利用的工具：