Screwdriving. Localizando e explorando brinquedos adultos
Espero que seja bem conhecido agora que o bebê irmão do Bluetooth, BLE, não é exatamente estelar quando se trata de segurança. O que você poupa na vida e na complexidade da bateria vem ao preço da fácil descoberta e vulnerabilidade. Embora o BLE tenha suporte para segurança, raramente é implementado. Quando é implementado, muitas vezes é feito com dificuldade.
BLE não é difícil de atacar. Demos uma breve demonstração e explicação no BSides Manchester este ano. Existem alguns bons guias e ferramentas por aí, mas a conseqüência do compromisso não é particularmente importante. No entanto, uma categoria de dispositivo inteligente que descobrimos que muitas vezes tinha uma segurança BLE fraca eram brinquedos sexuais inteligentes. Você certamente saberá que ficamos chocados com a facilidade de seqüestrar um vibrador de câmera wi-fi , nós atualizamos esse trabalho na SteelCon e revisamos vários brinquedos adultos inteligentes que usavam o Bluetooth.
O outro grande problema é a falta de alcance RF, o que significa que não é fácil encontrar dispositivos na ausência de um equivalente http://wigle.net para Bluetooth. Então fomos caçar ... e encontramos alguns dispositivos em um estado explorável ... nas pessoas.
Tivemos que dar um nome a este. Não demorou muito: caça para brinquedos adultos Bluetooth = aparafusar .
Pouco depois eu comecei na PTP, interessei um projeto de colegas engenharia reversa do vibrador da câmera. Em vez disso, eu anunciei no escritório que eu tinha um plugue inteligente ... para pesquisa.
Então, é claro, meus colegas sugeriram que meu próximo projeto deveria ser o de engenharia reversa.
E aqui está, o Lovense Hush:
Os brinquedos para adultos se prestam a ser excelentes bancos de testes para a pesquisa IoT: são BLE, são relativamente baratos, acessíveis e possuem aplicativos complementares para todo o espectro de testes.
Então vejamos o Hush um pouco mais
Usando o seu equipamento favorito BLE sniffing (usamos um Bluefruit, mas um Ubertooth é tão grande), você pode visualizar os pacotes BLE no Wireshark.
Nesse caso, podemos ver que o aplicativo causou que o Hush comece a vibrar quando o identificador 0x000e tiver escrito "Vibrar: 5":
Também podemos começar a reproduzir comandos dentro do Kali, portanto, nenhum aplicativo de smartphone é necessário.
Traga seu dongle Bluetooth (um trabalho barato de £ 5 fará se o seu laptop não tiver um):
# hciconfig up
Procure os dispositivos BLE para obter seus MACs:
# hciconfig lescan
Comece o gattool no modo interativo:
# gattool -I > conectar <MAC of the Hush> > primário > char-write-cmd <características> <hex>
Essa saída de primário deve dar-lhe as mesmas alças que vimos sobre o ar mais cedo.
<características> é o identificador de acima (0x000e) e a seqüência <hex> é o valor de Vibrar, 10 (ou a força que você quiser): 766962726174652C3130
Os dispositivos BLE também se anunciam para descoberta, que qualquer um pode encontrar, neste caso o Hush se chama LVS-Z001 - é o mesmo em todos os dispositivos Hush que examinamos, então é como uma impressão digital única.
Observe que não há proteção de PIN ou senha, ou o PIN é estático e genérico (0000/1234, etc.) nesses dispositivos. Este não é um problema apenas com o Hush, encontramos o mesmo problema no seguinte:
- Kiiroo Fleshlight
- Lelo
- Lovense Nora e Max
Na verdade, encontramos esse problema em todos os brinquedos para adultos Bluetooth que examinamos!
O desafio é a falta de UI para inserir um PIN de emparelhamento Bluetooth clássico. Onde você coloca uma UI em um plugue butt, afinal?
A única proteção que você tem é que os dispositivos BLE, geralmente, apenas emparelharão com um dispositivo por vez, mas o alcance é limitado e, se o usuário sair do alcance do seu smartphone ou a bateria do telefone morrer, o brinquedo adulto ficará disponível para que outros possam Conecte-se sem nenhuma autenticação.
Mas certamente você não vai achar essas coisas fora das casas das pessoas?
Encontrar brinquedos adultos Bluetooth
Recentemente eu estava em Berlim, caminhando com um aplicativo de descoberta Bluetooth, este é Lightblue. Fiquei realmente surpreso ao ver o nome Hush BLE, LVS-Z001, aparecer:
BINGO! Esta é realmente a descoberta de um plugue Hush, pronto e esperando que alguém se conecte a ele, em uma rua pública.
Eu me pergunto quando podemos ver um http://wigle.net, mas para BLE e ZigBee? O cliente Android do wigle já suporta o tropeço de Bluetooth, embora o site não mantenha um catálogo de redes Bluetooth. É claro que não levaria muito.
Devo dizer, neste momento, que este é um reconhecimento puramente passivo com base nas propagandas BLE que o dispositivo envia - tentar conectar-se ao dispositivo e realmente controlá-lo sem consentimento não é algo que eu ou você deveria fazer.
Mas agora pode-se dirigir o motor do Hush até a velocidade máxima, e enquanto o atacante permanecer conectado sobre BLE e não a vítima, não há como parar as vibrações.
É importante neste momento dizer que não nos esforçamos para envergonhar ninguém pelo uso desses dispositivos: os brinquedos para adultos atraem um grande número de pessoas e sua onipresença permite que as pessoas desfrutem de uma vida positiva para o sexo, no entanto, nós pense que essas mesmas pessoas devem poder usá-las sem medo de comprometer ou ferir. Falar sobre essas questões esperançosamente liderará a indústria para melhorar a segurança de seus brinquedos.
Ter um brinquedo adulta inesperadamente começar a vibrar pode causar grande constrangimento.
Aparelhos auditivos
Aqui está outro exemplo de equipamentos BLE usados no corpo abertos para qualquer um:
Estes são os aparelhos auditivos do meu pai, consegui encontrá-los transmitindo enquanto estávamos almoçando um dia. Eles têm BLE neles para permitir que você reproduza músicas, mas também controle e ajuste suas configurações (como se estivesse em um restaurante barulhento ou uma sala de concertos). Essas coisas custam £ 3500 e precisam ser programadas por um audiologista, então não só um atacante pode danificar ou privar alguém de sua audição, mas vai custar-lhes para corrigi-lo.
Corrigindo isso
Existem várias maneiras de resolver este problema, aqui estão alguns deles:
Interação física
Estes dispositivos serão conectáveis quando não estiverem conectados a outro dispositivo Bluetooth. Este não deve ser o caso. A interação física, como um impulso de botão, deve ser necessária para inserir um estado que permita conexões.
Sinal de força
Quando em um estado que permite conexões, a força do sinal Bluetooth pode ser descartada para um valor muito baixo, o que significa que o dispositivo que ele está conectando precisa ser fisicamente adjacente para emparelhar. Sim, com uma antena de alto ganho, provavelmente poderia enganar isso, mas isso reduz significativamente o risco.
PIN exclusivo por dispositivo
Carregar uma configuração na fábrica pode permitir a criação de um PIN exclusivo para cada brinquedo adulto. Esta é uma opção cara, já que os dispositivos terão de ser ligados e piscados. Um adesivo PIN por dispositivo também adicionará custo.
Comparação numérica
Outras opções incluem comparação numérica, embora eu aceite que colocar um teclado em um plugue butt é um pouco de não-iniciante!
Questões que não podem ser corrigidas
BLE anuncia sua presença. Como resultado, esses brinquedos podem ser localizados com bastante precisão usando triangulação. Quão confortável você sente, sabendo que se você usasse tais dispositivos em público, que você possa ser descoberto? Não é uma preocupação para alguns, mas muito preocupante para muitos.
Uma solução seria um nome genérico do dispositivo BLE, então o brinquedo adulto não poderia ser distinguido de dizer uma impressora Bluetooth? Ainda problemas potenciais com endereços MAC, mas muito mais difíceis de amarrar a um dispositivo específico.
Vários pesquisadores criaram mapas de áreas da cidade pequena usando drones, mapeando vários protocolos de RF. Quanto tempo antes de alguém voar um Bone de mapeamento BLE? Já existe um mapa de dispositivos Zigbee baseado em drone de partes de Austin, TX.
A especificação para Bluetooth 4.0 permite apenas uma conexão simultânea de mestre e escravo de uma só vez. Isso oferece uma camada de proteção, como se seu telefone estivesse conectado ao seu brinquedo adulto, é difícil desabilitar ou bloquear a conexão e conectar um dispositivo desonesto. Não é necessariamente impossível fazê-lo, no entanto.
No entanto, o Bluetooth 4.2 altera isso:
Isso abre a oportunidade de um dispositivo mestre rogue ser conectado simultaneamente ao mestre legítimo. Isso poderia permitir qualquer dispositivo BLE que não imponha o emparelhamento ou ligação para ser simplesmente conectado a um rogue.
Próximos passos
A próxima parte deste projeto é reverter completamente o engate e retirar o firmware. Algum trabalho cuidadoso com um bisturi será necessário, mas já peguei as imagens do PCB no site da FCC.
Aqui está o interior de um plugue inteligente.
Para concluir, a próxima vez que um cliente, ou qualquer outra pessoa, diz que a escuta ou o controle de dispositivos BLE é um ataque puramente hipotético, aponte-os para este post.
Se esta publicação despertou seu interesse em teledildonics, então recomendamos que você siga @internetofdongs .
Comentários
Postar um comentário