Screwdriving. Localizando e explorando brinquedos adultos

Screwdriving. Localizando e explorando brinquedos adultos inteligentes

Alex Lomas29 de setembro de 2017
Espero que seja bem conhecido agora que o bebĂŞ irmĂŁo do Bluetooth, BLE, nĂŁo ĂŠ exatamente estelar quando se trata de segurança. O que vocĂŞ poupa na vida e na complexidade da bateria vem ao preço da fĂĄcil descoberta e vulnerabilidade. Embora o BLE tenha suporte para segurança, raramente ĂŠ implementado. Quando ĂŠ implementado, muitas vezes ĂŠ feito com dificuldade.
BLE nĂŁo ĂŠ difĂ­cil de atacar. Demos uma breve demonstração e explicação no BSides Manchester este ano. Existem alguns bons guias e ferramentas por aĂ­, mas a conseqßência do compromisso nĂŁo ĂŠ particularmente importante. No entanto, uma categoria de dispositivo inteligente que descobrimos que muitas vezes tinha uma segurança BLE fraca eram brinquedos sexuais inteligentes. VocĂŞ certamente saberĂĄ que ficamos chocados com a facilidade de seqĂźestrar um vibrador de câmera wi-fi , nĂłs atualizamos esse trabalho na SteelCon e revisamos vĂĄrios brinquedos adultos inteligentes que usavam o Bluetooth.
O outro grande problema ĂŠ a falta de alcance RF, o que significa que nĂŁo ĂŠ fĂĄcil encontrar dispositivos na ausĂŞncia de um equivalente http://wigle.net para Bluetooth. EntĂŁo fomos caçar ... e encontramos alguns dispositivos em um estado explorĂĄvel ... nas pessoas.
Tivemos que dar um nome a este. NĂŁo demorou muito: caça para brinquedos adultos Bluetooth = aparafusar .
Pouco depois eu comecei na PTP, interessei um projeto de colegas engenharia reversa do vibrador da câmera. Em vez disso, eu anunciei no escritĂłrio que eu tinha um plugue inteligente ... para pesquisa.
EntĂŁo, ĂŠ claro, meus colegas sugeriram que meu prĂłximo projeto deveria ser o de engenharia reversa.

E aqui estĂĄ, o Lovense Hush:

Os brinquedos para adultos se prestam a ser excelentes bancos de testes para a pesquisa IoT: sĂŁo BLE, sĂŁo relativamente baratos, acessĂ­veis e possuem aplicativos complementares para todo o espectro de testes.

EntĂŁo vejamos o Hush um pouco mais

Usando o seu equipamento favorito BLE sniffing (usamos um Bluefruit, mas um Ubertooth ĂŠ tĂŁo grande), vocĂŞ pode visualizar os pacotes BLE no Wireshark.
Nesse caso, podemos ver que o aplicativo causou que o Hush comece a vibrar quando o identificador 0x000e tiver escrito "Vibrar: 5":
TambÊm podemos começar a reproduzir comandos dentro do Kali, portanto, nenhum aplicativo de smartphone Ê necessårio.
Traga seu dongle Bluetooth (um trabalho barato de ÂŁ 5 farĂĄ se o seu laptop nĂŁo tiver um):
# hciconfig up
Procure os dispositivos BLE para obter seus MACs:
# hciconfig lescan
Comece o gattool no modo interativo:
# gattool -I
 > conectar <MAC of the Hush>
 > primĂĄrio
 > char-write-cmd <caracterĂ­sticas> <hex>
Essa saída de primårio deve dar-lhe as mesmas alças que vimos sobre o ar mais cedo.
<características> Ê o identificador de acima (0x000e) e a seqßência <hex> Ê o valor de Vibrar, 10 (ou a força que você quiser): 766962726174652C3130
Os dispositivos BLE tambĂŠm se anunciam para descoberta, que qualquer um pode encontrar, neste caso o Hush se chama LVS-Z001 - ĂŠ o mesmo em todos os dispositivos Hush que examinamos, entĂŁo ĂŠ como uma impressĂŁo digital Ăşnica.
Observe que nĂŁo hĂĄ proteção de PIN ou senha, ou o PIN ĂŠ estĂĄtico e genĂŠrico (0000/1234, etc.) nesses dispositivos. Este nĂŁo ĂŠ um problema apenas com o Hush, encontramos o mesmo problema no seguinte:
  • Kiiroo Fleshlight
  • Lelo
  • Lovense Nora e Max
Na verdade, encontramos esse problema em todos os brinquedos para adultos Bluetooth que examinamos!
O desafio ĂŠ a falta de UI para inserir um PIN de emparelhamento Bluetooth clĂĄssico. Onde vocĂŞ coloca uma UI em um plugue butt, afinal?
A única proteção que você tem Ê que os dispositivos BLE, geralmente, apenas emparelharão com um dispositivo por vez, mas o alcance Ê limitado e, se o usuårio sair do alcance do seu smartphone ou a bateria do telefone morrer, o brinquedo adulto ficarå disponível para que outros possam Conecte-se sem nenhuma autenticação.
Mas certamente vocĂŞ nĂŁo vai achar essas coisas fora das casas das pessoas?

Encontrar brinquedos adultos Bluetooth

Recentemente eu estava em Berlim, caminhando com um aplicativo de descoberta Bluetooth, este ĂŠ Lightblue. Fiquei realmente surpreso ao ver o nome Hush BLE, LVS-Z001, aparecer:
BINGO! Esta ĂŠ realmente a descoberta de um plugue Hush, pronto e esperando que alguĂŠm se conecte a ele, em uma rua pĂşblica.
Eu me pergunto quando podemos ver um http://wigle.net, mas para BLE e ZigBee? O cliente Android do wigle jĂĄ suporta o tropeço de Bluetooth, embora o site nĂŁo mantenha um catĂĄlogo de redes Bluetooth. Ă‰ claro que nĂŁo levaria muito.
Devo dizer, neste momento, que este ĂŠ um reconhecimento puramente passivo com base nas propagandas BLE que o dispositivo envia - tentar conectar-se ao dispositivo e realmente controlĂĄ-lo sem consentimento nĂŁo ĂŠ algo que eu ou vocĂŞ deveria fazer.
Mas agora pode-se dirigir o motor do Hush atÊ a velocidade måxima, e enquanto o atacante permanecer conectado sobre BLE e não a vítima, não hå como parar as vibraçþes.
É importante neste momento dizer que nĂŁo nos esforçamos para envergonhar ninguĂŠm pelo uso desses dispositivos: os brinquedos para adultos atraem um grande nĂşmero de pessoas e sua onipresença permite que as pessoas desfrutem de uma vida positiva para o sexo, no entanto, nĂłs pense que essas mesmas pessoas devem poder usĂĄ-las sem medo de comprometer ou ferir. Falar sobre essas questĂľes esperançosamente liderarĂĄ a indĂşstria para melhorar a segurança de seus brinquedos.
Ter um brinquedo adulta inesperadamente começar a vibrar pode causar grande constrangimento.

Aparelhos auditivos

Aqui está outro exemplo de equipamentos BLE usados ​​no corpo abertos para qualquer um:
Estes sĂŁo os aparelhos auditivos do meu pai, consegui encontrĂĄ-los transmitindo enquanto estĂĄvamos almoçando um dia. Eles tĂŞm BLE neles para permitir que vocĂŞ reproduza mĂşsicas, mas tambĂŠm controle e ajuste suas configuraçþes (como se estivesse em um restaurante barulhento ou uma sala de concertos). Essas coisas custam ÂŁ 3500 e precisam ser programadas por um audiologista, entĂŁo nĂŁo sĂł um atacante pode danificar ou privar alguĂŠm de sua audição, mas vai custar-lhes para corrigi-lo.

Corrigindo isso

Existem vĂĄrias maneiras de resolver este problema, aqui estĂŁo alguns deles:

Interação física

Estes dispositivos serĂŁo conectĂĄveis ​​quando nĂŁo estiverem conectados a outro dispositivo Bluetooth. Este nĂŁo deve ser o caso. A interação fĂ­sica, como um impulso de botĂŁo, deve ser necessĂĄria para inserir um estado que permita conexĂľes.

Sinal de força

Quando em um estado que permite conexĂľes, a força do sinal Bluetooth pode ser descartada para um valor muito baixo, o que significa que o dispositivo que ele estĂĄ conectando precisa ser fisicamente adjacente para emparelhar. Sim, com uma antena de alto ganho, provavelmente poderia enganar isso, mas isso reduz significativamente o risco.

PIN exclusivo por dispositivo

Carregar uma configuração na fĂĄbrica pode permitir a criação de um PIN exclusivo para cada brinquedo adulto. Esta ĂŠ uma opção cara, jĂĄ que os dispositivos terĂŁo de ser ligados e piscados. Um adesivo PIN por dispositivo tambĂŠm adicionarĂĄ custo.

Comparação numÊrica

Outras opçþes incluem comparação numÊrica, embora eu aceite que colocar um teclado em um plugue butt Ê um pouco de não-iniciante!

QuestĂľes que nĂŁo podem ser corrigidas

BLE anuncia sua presença. Como resultado, esses brinquedos podem ser localizados com bastante precisĂŁo usando triangulação. QuĂŁo confortĂĄvel vocĂŞ sente, sabendo que se vocĂŞ usasse tais dispositivos em pĂşblico, que vocĂŞ possa ser descoberto? NĂŁo ĂŠ uma preocupação para alguns, mas muito preocupante para muitos.
Uma solução seria um nome genĂŠrico do dispositivo BLE, entĂŁo o brinquedo adulto nĂŁo poderia ser distinguido de dizer uma impressora Bluetooth? Ainda problemas potenciais com endereços MAC, mas muito mais difĂ­ceis de amarrar a um dispositivo especĂ­fico.
VĂĄrios pesquisadores criaram mapas de ĂĄreas da cidade pequena usando drones, mapeando vĂĄrios protocolos de RF. Quanto tempo antes de alguĂŠm voar um Bone de mapeamento BLE? JĂĄ existe um mapa de dispositivos Zigbee baseado em drone de partes de Austin, TX.
A especificação para Bluetooth 4.0 permite apenas uma conexĂŁo simultânea de mestre e escravo de uma sĂł vez. Isso oferece uma camada de proteção, como se seu telefone estivesse conectado ao seu brinquedo adulto, ĂŠ difĂ­cil desabilitar ou bloquear a conexĂŁo e conectar um dispositivo desonesto. NĂŁo ĂŠ necessariamente impossĂ­vel fazĂŞ-lo, no entanto.
No entanto, o Bluetooth 4.2 altera isso:
Isso abre a oportunidade de um dispositivo mestre rogue ser conectado simultaneamente ao mestre legĂ­timo. Isso poderia permitir qualquer dispositivo BLE que nĂŁo imponha o emparelhamento ou ligação para ser simplesmente conectado a um rogue.

PrĂłximos passos

A prĂłxima parte deste projeto ĂŠ reverter completamente o engate e retirar o firmware. Algum trabalho cuidadoso com um bisturi serĂĄ necessĂĄrio, mas jĂĄ peguei as imagens do PCB no site da FCC.
Aqui estĂĄ o interior de um plugue inteligente.
 
Para concluir, a prĂłxima vez que um cliente, ou qualquer outra pessoa, diz que a escuta ou o controle de dispositivos BLE ĂŠ um ataque puramente hipotĂŠtico, aponte-os para este post.
Se esta publicação despertou seu interesse em teledildonics, entĂŁo recomendamos que vocĂŞ siga @internetofdongs .
Enviar esta postagem

ComentĂĄrios

Postar um comentĂĄrio

Ebook

Postagens mais visitadas