BlueToolkit é uma estrutura extensível de teste de vulnerabilidade Bluetooth
Documentação • Instalação • Uso • Exploits suportados • Vulnerabilidades e ataques Bluetooth Classic e BLE • Resultados • Hardware
BlueToolkit é uma estrutura extensível de teste de vulnerabilidade Bluetooth Classic que ajuda a descobrir vulnerabilidades novas e antigas em dispositivos habilitados para Bluetooth.
Ele funciona executando explorações de modelo uma por uma e verificando as propriedades apropriadas com base na lógica do modelo. O kit de ferramentas é extensível e permite que novas pesquisas sejam adicionadas ao kit de ferramentas de testes centralizado. Existem 43 explorações de Bluetooth disponíveis no kit de ferramentas, desde explorações e ferramentas públicas conhecidas até aquelas desenvolvidas sob medida.
A estrutura funciona no estilo caixa preta, mas também é possível operar o kit de ferramentas no estilo caixa cinza. Para isso é necessário estender o framework e conectá-lo ao sistema operacional do alvo para que seja possível observar os logs do Bluetooth e garantir a ausência de falsos positivos.
Além disso, já utilizamos nossa estrutura e conseguimos encontrar 64 novas vulnerabilidades em 22 produtos.
Temos um repositório dedicado que fornece vários tipos de modelos de vulnerabilidade.
Este trabalho foi realizado no Cyber Defense Campus e no System Security Group da ETH Zurich .
BlueToolkit possui 2 etapas de instalação: instalação geral e específica do módulo. A instalação geral baixa o código, os módulos e as ferramentas disponíveis no kit de ferramentas e tenta configurar módulos que não requerem interação humana. A instalação do módulo específico requer que um ser humano verifique se o hardware necessário está conectado ao dispositivo no qual o kit de ferramentas está sendo instalado.
Oferecemos 2 opções de instalação: máquina virtual ou Ubuntu/Debian.
Instalação de VM
Instalação Ubuntu/Debian
Instalação Windows e MacOS
Máquina virtual
Linux
sudo -E env PATH=$PATH bluekit -hIsso exibirá informações de ajuda para a ferramenta. Aqui estão todos os parâmetros que ele suporta.
usage: bluekit [-h] [-t TARGET] [-l] [-c] [-ct] [-ch] [-v VERBOSITY] [-ex EXCLUDEEXPLOITS [EXCLUDEEXPLOITS ...]] [-e EXPLOITS [EXPLOITS ...]] [-r] [-re] [-rej] [-hh HARDWARE [HARDWARE ...]] ...
positional arguments:
rest
options:
-h, --help show this help message and exit
-t TARGET, --target TARGET
target MAC address
-l, --listexploits List exploits or not
-c, --checksetup Check whether Braktooth is available and setup
-ct, --checktarget Check connectivity and availability of the target
-ch, --checkpoint Start from a checkpoint
-v VERBOSITY, --verbosity VERBOSITY
Verbosity level
-ex EXCLUDEEXPLOITS [EXCLUDEEXPLOITS ...], --excludeexploits EXCLUDEEXPLOITS [EXCLUDEEXPLOITS ...]
Exclude exploits, example --exclude exploit1, exploit2
-e EXPLOITS [EXPLOITS ...], --exploits EXPLOITS [EXPLOITS ...]
Scan only for provided --exploits exploit1, exploit2; --exclude is not taken into account
-r, --recon Run a recon script
-re, --report Create a report for a target device
-rej, --reportjson Create a report for a target device
-hh HARDWARE [HARDWARE ...], --hardware HARDWARE [HARDWARE ...]
Scan only for provided exploits based on hardware --hardware hardware1 hardware2; --exclude and --exploit are not taken into account
EXAMPLES:
Run bluekit recon:
$ sudo -E env PATH=$PATH bluekit -t AA:BB:CC:DD:EE:FF -r
Run bluekit connectivity check:
$ sudo -E env PATH=$PATH bluekit -t AA:BB:CC:DD:EE:FF -ct
Run bluekit with a specific exploit:
$ sudo -E env PATH=$PATH bluekit -t AA:BB:CC:DD:EE:FF -e invalid_max_slot
Run bluekit with specific exploits:
$ sudo -E env PATH=$PATH bluekit -t AA:BB:CC:DD:EE:FF -e invalid_max_slot au_rand_flooding internalblue_knob
Run bluekit and list all available exploits:
$ sudo -E env PATH=$PATH bluekit -l
Documentation is available at: https://github.com/sgxgsx/wiki/BlueToolkit baixa automaticamente todos os modelos de vulnerabilidade e hardware. O repositório de modelos BlueToolkit fornece uma lista completa de modelos prontos para uso. Além disso, você pode escrever seus próprios modelos e verificações, bem como adicionar novo hardware seguindo o guia de modelos do BlueToolkit. A sintaxe de referência YAML está disponível aqui
Coletamos e classificamos as vulnerabilidades do Bluetooth da maneira “Awesome Bluetooth Security”. Utilizamos as seguintes fontes - ACM, IEEE SP, Blackhat, DEFCON, Car Hacking Village, NDSS e Google Scholars. Procurei as seguintes palavras-chave em mecanismos de pesquisa como Google, Baidu, Yandex, Bing - kit de ferramentas de segurança Bluetooth, explorações de Bluetooth no github, estrutura de segurança Bluetooth, kit de ferramentas de pentesting bluetooth. Também analisamos todos os repositórios do Github com base nos seguintes parâmetros - topic:bluetooth topic:exploit, topic:bluetooth topic:security.
Para ataques manuais consulte a documentação .
| Vulnerabilidade | Categoria | Tipo | Tipo de verificação | Requisitos de hardware | Testado |
|---|---|---|---|---|---|
| Sempre emparelhável | Encadeamento | Encadeamento | Manual | ✓ | |
| Apenas o veículo pode iniciar uma conexão | Encadeamento | Encadeamento | Manual | ✓ | |
| Reinicialização rápida | Encadeamento | Encadeamento | Manual | ✓ | |
| SC não suportado | Encadeamento | Informações | Automatizado | ✓ | |
| possível verificação de BLUR | Encadeamento | Informações | Automatizado | ✓ | |
| Meu nome é teclado | Crítico | RCE | Semiautomático | ✓ | |
| CVE-2017-0785 | Crítico | Vazamento de memória | Automatizado | ✓ | |
| CVE-2018-19860 | Crítico | Execução de memória | Automatizado | ✓ | |
| Tipo de slot máximo inválido V13 | DoS | DoS | Automatizado | ✓ | ✓ |
| V3 IOCAP Duplicado | DoS | DoS | Automatizado | ✓ | ✓ |
| Verificação NiNo | MitM | MitM | Semiautomático | ✓ | |
| Pareamento legado usado | MitM | MitM | Automatizado | ✓ | |
| BOTÃO | MitM | MiTM | Semiautomático | ✓ | ✓ |
| CVE-2018-5383 | MitM | MiTM | Automatizado | ✓ | ✓ |
| Ataque de confusão de método | MitM | MiTM | Automatizado | ✓ | |
| SSP suportado <= 4.0 criptografia fraca ou SSP | MitM | Informações/MitM | Automatizado | ✓ | |
| CVE-2020-24490 | Crítico | DoS | Automatizado | ✓ | |
| CVE-2017-1000250 | Crítico | Vazamento de informações | Automatizado | ✓ | |
| CVE-2020-12351 | Crítico | RCE/DoS | Automatizado | ✓ | |
| CVE-2017-1000251 | Crítico | RCE/DoS | Automatizado | ✓ | |
| Execução de páginas de recursos V1 | Crítico | RCE/DoS | Automatizado | ✓ | ✓ |
| Carga útil encapsulada duplicada desconhecida | DoS | DoS | Automatizado | ✓ | ✓ |
| Solicitação de link SCO truncado V2 | DoS | DoS | Automatizado | ✓ | ✓ |
| Recurso V4 Resp. Inundações | DoS | DoS | Automatizado | ✓ | ✓ |
| Estouro de taxa automática V5 LMP | DoS | DoS | Automatizado | ✓ | ✓ |
| Estouro V6 LMP 2-DH1 | DoS | DoS | Automatizado | ✓ | ✓ |
| Estouro V7 LMP DM1 | DoS | DoS | Automatizado | ✓ | ✓ |
| LMP truncado V8 aceito | DoS | DoS | Automatizado | ✓ | ✓ |
| Configuração inválida V9 concluída | DoS | DoS | Automatizado | ✓ | ✓ |
| Inundação de conexão de host V10 | DoS | DoS | Automatizado | ✓ | ✓ |
| V11 Mesma Conexão de Host | DoS | DoS | Automatizado | ✓ | ✓ |
| Inundação V12 AU Rand | DoS | DoS | Automatizado | ✓ | ✓ |
| Estouro de comprimento máximo do slot V14 | DoS | DoS | Automatizado | ✓ | ✓ |
| Precisão de tempo inválida V15 | DoS | DoS | Automatizado | ✓ | ✓ |
| Impasse na verificação de paginação V16 | DoS | DoS | Automatizado | ✓ | ✓ |
| Carga útil encapsulada errada desconhecida | DoS | DoS | Automatizado | ✓ | ✓ |
| Tipo de elemento desconhecido sdp desconhecido | DoS | DoS | Automatizado | ✓ | ✓ |
| Tamanho de elemento superdimensionado sdp desconhecido | DoS | DoS | Automatizado | ✓ | ✓ |
| Recurso desconhecido requerido pingue-pongue | DoS | DoS | Automatizado | ✓ | ✓ |
| Transporte inválido lmp desconhecido | DoS | DoS | Automatizado | ✓ | ✓ |
| CVE-2020-12352 | Crítico | Vazamento de informações | Automatizado | ✓ |
| Vulnerabilidade | Categoria | Tipo | Tipo de verificação | Requisitos de hardware | Testado | Programado para ser adicionado |
|---|---|---|---|---|---|---|
| BORRÃO | MitM | ? | - | ✓ | ✓ | |
| VIÉS | MitM | ? | - | ✓ | ✓ | |
| BLEFES | MitM | ? | - | ✓ | ✓ | |
| BlueRepli | Crítico | TAS | - | |||
| CVE-2020-26555 | MitM | MiTM | - |
3 vulnerabilidades serão adicionadas em agosto (podem mudar para junho). Além disso, 1 vulnerabilidade de escalonamento de privilégios seria adicionada ao mesmo tempo.
| Vulnerabilidade | Categoria | Tipo | Tipo de verificação | Requisitos de hardware | Testado |
|---|---|---|---|---|---|
| A ser adicionado em agosto | MitM | MitM | Manual | ✓ | |
| A ser adicionado em agosto | MitM | Informações | Manual | ✓ | |
| A ser adicionado em agosto | Crítico | TAS | Manual | ✓ |
Além disso, encontramos as seguintes vulnerabilidades Bluetooth Classic e Bluetooth Low Energy (BLE). A tabela contém as seguintes informações sobre os ataques e vulnerabilidades - nome, tipo específico da implementação, específico do protocolo ou afetando um perfil BT, tipo de Bluetooth (BLE, BT, BT + BLE), versões BT afetadas, número de explorações, ano lançado, CVE se disponível, CVSS se disponível, Hardware se necessário, Prova de conceito se disponível e informações adicionais na seção de comentários com links ou explicações adicionais.
| Exp. Família | Nome | Tipo | Tipo BT | Versão BT | exp. # | Ano | CVE | CVSS | Hardware | PoC | Link | Comente |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Ataque Qualcomm WSA8835 | Criança levada | BLE | 1 | 2023 | https://www.cvedetails.com/cve/CVE-2023-21647/?q=CVE-2023-21647 | Verificação inadequada de pacotes GATT | ||||||
| Desvio de autenticação, falsificação | Criança levada | BLE | 1 | 2022 | https://fmsh-seclab.github.io/ | Ignorar autenticação por falsificação em chaves Tesla | ||||||
| não autorizado MITM | Protecção | BLE | 4,0 - 5,3 | 1 | 2022 | https://www.cvedetails.com/cve/CVE-2022-25836/ | Verifique o CVE para obter detalhes, depende da confusão do método | |||||
| Relé de autenticação de proximidade BLE | Rel | BLE | 4,0 - 5,3 | 1 | 2022 | https://research.nccgroup.com/2022/05/15/technical-advisory-tesla-ble-phone-as-a-key-passive-entry-vulnerable-to-relay-attacks/ | Autenticação de proximidade BLE vulnerável a ataques de retransmissão | |||||
| Fungar | Cheirar | BLE | 4,0-5,0 | 1 | 2022 | TI CC1352/CC26x2 | https://github.com/nccgroup/Sniffle | |||||
| Injetável | Protecção | BLE | 4,0 - 5,2 | 1 | 2021 | nRF52840 | https://github.com/RCayre/injectable-firmware | https://hal.laas.fr/hal-03193297v2/document | MITM, enviar pacotes maliciosos, pós-exploração após a sessão ter sido estabelecida/sequestrada (Imp e modelo específico) | |||
| ágil | Criança levada | BLE | 2020 | nRF52840 | https://github.com/darkmentorllc/jackbnimble | https://i.blackhat.com/USA-20/Wednesday/us-20-Kovah-Finding-New-Bluetooth-Low-Energy-Exploits-Via-Reverse-Engineering-Multiple-Vendors-Firmwares.pdf | 3 explorações para hardware específico, CVE-2020-15531 | |||||
| SweynTooth | Criança levada | BLE | 12 | 2020 | nRF52840 | https://github.com/Matheus-Garbelini/sweyntooth_bluetooth_low_energy_attacks | https://asset-group.github.io/disclosures/sweyntooth/ | |||||
| Porta Azul | Protecção | BLE | 4,0 - 5,2 | 1 | 2020 | nRF51822 | http://tns.thss.tsinghua.edu.cn/~jiliang/publications/MOBISYS2020_BlueDoor.pdf | MITM | ||||
| Ataque de downgrade | Protecção | BLE | 4,2 - 5,0 | 1 | 2020 | TICC2640 e Adafruit Bluefruit LE Sniffe | https://www.usenix.org/system/files/sec20-zhang-yue.pdf | MITM por meio de downgrade (SCO) CVE-2020-35473 | ||||
| BLESA | Paródia | BLE | 1 | 2020 | https://www.usenix.org/system/files/woot20-paper-wu.pdf | Spoofing para estabelecer MITM e desativar a criptografia | ||||||
| SweynTooth | Cypress PSoc 4 BLE | Criança levada | BLE | 1 | 2019 | https://www.cvedetails.com/cve/CVE-2019-16336/?q=CVE-2019-16336 | DoS | |||||
| SweynTooth | Cypress PSoc 4 BLE | Criança levada | BLE | 1 | 2019 | https://www.cvedetails.com/cve/CVE-2019-17061/?q=CVE-2019-17061 | Estouro de buffer | |||||
| SweynTooth | NXP KW41Z até 2.2.1 | Criança levada | BLE | 1 | 2019 | https://www.cvedetails.com/cve/CVE-2019-17060/?q=CVE-2019-17060 | Estouro de buffer da camada de link BLE | |||||
| SweynTooth | Pilha BLE da STMicroelectronics | Criança levada | BLE | 1 | 2019 | https://www.cvedetails.com/cve/CVE-2019-19192/?q=CVE-2019-19192 | até 1.3.1 para dispositivos STM32WB5x não lida adequadamente com solicitações ATT consecutivas na recepção | |||||
| Aplicativo co-localizado BLE | BLE | 1 | 2019 | Teoria | https://www.usenix.org/system/files/sec19-sivakumaran_0.pdf | Aplicativos co-localizados podem obter dados BLE e, assim, exfiltrar as informações necessárias??? podemos fazer um revezamento com ele? | ||||||
| Sangramento | Criança levada | BLE | 4,2 - 5,0 | 1 | 2018 | https://www.armis.com/research/bleedingbit/ | ||||||
| GATTack | Protecção | BLE | 4,0 | 1 | 2016 | Dongle USB baseado em CSR 8510 | https://github.com/securing/gattacker | https://www.blackhat.com/docs/us-16/materials/us-16-Jasek-GATTacking-Bluetooth-Smart-Devices-Introducing-a-New-BLE-Proxy-Tool.pdf | MITM BLE | |||
| Estalar | Protecção | BLE | 4 | 1 | 2013 | https://github.com/mikeryan/crackle | https://www.usenix.org/system/files/conference/woot13/woot13-ryan.pdf | criptografia quebrável | ||||
| Azul | Meu nome é teclado | Criança levada | BT | 1 | 2023 | CVE-2023-45866 | 8.8 | https://github.com/marcnewlin/hi_my_name_is_keyboard | - | CVE-2023-45866, CVE-2023-45866, CVE-2023-45866 | ||
| Antonioli | BLEFES | Protecção | BT | 4.2-5.2 | 6 | 2023 | CVE-2023-24023 | 6.8 | CYW920819EVB-02 | https://github.com/francozappa/bluffs | ||
| - | Protecção | BT | 1 | 2022 | https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9833777 | Ataque de acesso ilegal cross-stack (métodos formais) + CVE-2020-26560 e CVE-2020-15802 mencionados em outras entradas | ||||||
| Dente Preto | Protecção | BT | 1 | 2022 | CYW920819EVB-02 | https://dl.acm.org/doi/pdf/10.1145/3548606.3560668 | 1 novo ataque (estágio de conexão) + KNOB e outros ataques que foram reutilizados | |||||
| BLAP | Protecção | BT | 1 | 2022 | Teoria | https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9833575 | Extrair Link Key do dump HCI precisa de acesso físico ao carro (aplicável apenas no compartilhamento de carro) | |||||
| Pistas azuis | Protecção | BT | <=5,3 | 2022 | CVE-2022-24695 | 4.3 | Ubertooth e USRP B210 SDR | https://github.com/TylerTucker/BluesClues | https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=10179358 | CVE-2022-24695 afeta a privacidade, anula o recurso não detectável do BT/EDR | ||
| não autorizado MITM | Protecção | BT | 1,0B-5,3 | 1 | 2022 | CVE-2022-25837 | 7,5 | https://www.cvedetails.com/cve/CVE-2022-25837/ | Verifique CVE para obter detalhes, depende de Method Confusion, CVE-2022-25837 | |||
| Dente de freio | BrakTooth | Criança levada | BT | 3,0 - 5,2 | 16 | 2021 | CVE-2021-28139 | 8.8 | ESP-WROVER-KIT | https://github.com/Matheus-Garbelini/braktooth_esp32_bluetooth_classic_attacks | https://asset-group.github.io/disclosures/braktooth/ | |
| Sangramento no dente ruim escolha | Criança levada | BT | 4.2-5.2 | 1 | 2020 | CVE-2020-12352 | 6,5 | https://github.com/google/security-research/security/advisories/GHSA-7mh3-gq28-gfrq | https://google.github.io/security-research/pocs/linux/bleedingtooth/writeup.html | Vazamento de informações | ||
| Sangramento no dente ruimKarma | Criança levada | BT | 5,0 | 1 | 2020 | CVE-2020-12351 | 8.8 | https://github.com/google/security-research/security/advisories/GHSA-7mh3-gq28-gfrq | https://google.github.io/security-research/pocs/linux/bleedingtooth/writeup.html | vazamento de informações baseado em pilha BlueZ | ||
| Sangramento no dente BadVibes | Criança levada | BT | 5,0+ | 1 | 2020 | CVE-2020-24490 | 6,5 | https://github.com/google/security-research/security/advisories/GHSA-ccx2-w2r4-x649 | https://google.github.io/security-research/pocs/linux/bleedingtooth/writeup.html | Requer BT 5.0 e superior | ||
| CVEs automáticos Snapdragon | Criança levada | BT | 4 | 2020 | https://www.cvedetails.com/cve/CVE-2020-3703/?q=CVE-2020-3703 | CVE-2020-11156 Snapdragon Auto, sem explorações CVE-2020-11154 CVE-2020-11155, CVE-2020-3703 | ||||||
| BlueRepli | Criança levada | BT | 1 | 2020 | Nenhuma exploração até agora | https://i.blackhat.com/USA-20/Wednesday/us-20-Xu-Stealthily-Access-Your-Android-Phones-Bypass-The-Bluetooth-Authentication.pdf | https://github.com/DasSecurity-HatLab/BlueRepli-Plus | |||||
| UberTooth | Cheirar | BT | TODOS | 1 | 2020 | Uberdente | https://github.com/greatscottgadgets/ubertooth | https://ubertooth.readthedocs.io/en/latest/ | Cheirando | |||
| Antonioli | VIÉS | Protecção | BT | <=5,0 | 4 | 2019 | CVE-2020-10135 | 5.4 | CYW920819, possivelmente CYW920819M2EVB-01 | https://github.com/francozappa/bias | https://francozappa.github.io/about-bias/ | CVE-2020-10135 |
| MITM SSPBT 5.0 | Protecção | BT | 5 | 1 | 2018 | https://link.springer.com/article/10.1007/s00779-017-1081-6 | o modelo de associação de entrada de chave de acesso é vulnerável ao MITM | |||||
| BlueBorne | CVE-2017-0785 | Criança levada | BT | 1 | 2017 | CVE-2017-0785 | 6,5 | |||||
| BlueBorne | CVE-2017-1000251 | Criança levada | BT | 5 | 4 | 2017 | CVE-2017-1000251 | 8,0 | https://github.com/ArmisSecurity/blueborne | https://www.armis.com/research/blueborne/ | ||
| Estouro de pilha Lexus BT | Criança levada | BT | 1 | 2017 | CVE-2020-5551 | 8.8 | Teoria | https://keenlab.tencent.com/en/2020/03/30/Tencent-Keen-Security-Lab-Experimental-Security-Assessment-on-Lexus-Cars/ | RCE em Lexus (LC, LS, NX, RC, RC F), TOYOTA CAMRY e TOYOTA SIENNA fabricados fora do Japão de outubro de 2016 a outubro de 2019 | |||
| Orelha Azul | Cheirar | BT | TODOS | 1 | 2016 | Uberdente (2) | https://github.com/albazrqa/BluEar | https://www.cs.cityu.edu.hk/~jhuan9/papers/blueear16mobisys.pdf | Cheirando, estendendo o código do Ubertooth | |||
| CVE-2018-19860 | Criança levada | BT | 1 | 2014 | CVE-2018-19860 | 8.8 | Nexus 5 (azul interno) | exemplos de internalblue Nexus 5 | Criança levada. ataques específicos aos chips Broadcom BCM4335C0, BCM43438A1 e alguns outros de 2012-2014 (DoS) | |||
| Ataque NINO MITM | Protecção | BT | 2 | 2010 | Nexus 5 (azul interno) | Teoria + um PoC da internalblue + exploração fácil semelhante à confusão de métodos | https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=5374082 | NINO - sem entrada sem saída (ataques mitm + mitm fora de banda). https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=4401672 | ||||
| Ataques ao emparelhamento | Protecção | BT | 2.1 | 1 | 2008 | https://citeseerx.ist.psu.edu/document?repid=rep1&type=pdf&doi=ac095564c820f02b2793694018d419ce99279de0 | MITM, ataque em 2.1 | |||||
| Quebrando o PIN do Bluetooth | Bruto | BT | 1 | 2005 | Teoria | https://www.usenix.org/legacy/event/mobisys05/tech/full_papers/shaked/shaked.pdf | 6 | |||||
| Extração de chave | BT | 1,0B | 1 | 2001 | https://link.springer.com/chapter/10.1007/3-540-45353-9_14 | Ataque antigo na versão 1.0B muito antiga | ||||||
| Mau Bluetooth | Protecção | BT + adj. | 1 | 2019 | Teoria | https://staff.ie.cuhk.edu.hk/~khzhang/my-papers/2019-ndss-bluetooth.pdf | Suposições muito altas (aplicativo malicioso instalado + dispositivo comprometido) | |||||
| Espelho Azul | BlueMirror BT Mesh perfil bruto | Protecção | Perfil BT | 2.1-5.2 | 1 | 2021 | CVE-2020-26556 | 7,5 | AuthValue aleatório insuficiente de força bruta no BT Mesh 1.0 e 1.0.1 para concluir a autenticação | |||
| Espelho Azul | BlueMirror BT Mesh perfil bruto 2 | Protecção | Perfil BT | 2.1-5.2 | 1 | 2021 | CVE-2020-26557 | 7,5 | Determine Authvalue no BT Mesh 1.0 e 1.0.1 por meio de ataque de força bruta | |||
| Espelho Azul | Perfil BlueMirror BT Mesh sem bruto | Protecção | Perfil BT | 2.1-5.2 | 1 | 2021 | CVE-2020-26559 | 8.8 | O bypass de autenticação no perfil Mesh 1.0, 1.0.1, pode determinar o valor de autenticação e outros dados sem força bruta | |||
| Espelho Azul | Perfil de malha BlueMirror BT | Protecção | Perfil BT | 1.0B-5.2 | 1 | 2020 | CVE-2020-26560 | 8.1 | https://kb.cert.org/vuls/id/799380 | CVE-2020-26560 - Desvio de autenticação no perfil Mesh 1.0, 1.0.1 https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9474325 | ||
| Espelho Azul | Emparelhamento legado BlueMirror | Protecção | BT/BLE | 2.1-5.2 | 1 | 2021 | CVE-2020-26555 | 5.4 | https://kb.cert.org/vuls/id/799380 | Emparelhamento completo sem conhecimento do PIN https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9474325 https://www.ieee-security.org/TC/SP2021/SPW2021/WOOT21/files/ woot21-claverie-slides.pdf | ||
| Espelho Azul | Vazamento de senha do BlueMirror | Protecção | BT/BLE | 2.1-5.2 | 1 | 2021 | CVE-2020-26558 | 4.2 | O invasor MitM pode determinar o valor da chave de acesso por meio do reflexo da chave pública (pode vazar o valor da chave de acesso 1 bit por vez) | |||
| Antonioli | BLUR Dente | Protecção | BT/BLE | 4,2, 5,0, 5,1, 5,2 | 4 | 2020 | CVE-2020-15802 | 5.9 | https://github.com/francozappa/blur | https://hexhive.epfl.ch/BLURtooth/ | CVE-2020-15802 | |
| Coordenada fixa. Inv. Ataque | Criança levada | BT/BLE | 2.1-5.2 | 1 | 2019 | CVE-2018-5383 | Nexus 5 (azul interno) ou CY5677 | exemplos de internalblue Nexus 5 | https://biham.cs.technion.ac.il/BT/ | MITM explorando criptografia (ataque de implementação/protocolo) CVE-2018-5383 | ||
| Antonioli | BOTÃO | Protecção | BT/BLE | <=5,0 | 1 | 2019 | CVE-2019-9506 | 8.1 | Nexus 5 (azul interno) | https://github.com/francozappa/knob | https://knobattack.com/ | CVE-2019-9506 |
| Ataque fantasma | Protecção | BT/BLE? | 2 | 2023 | https://www.ndss-symposium.org/wp-content/uploads/2023/02/ndss2023_s119_paper.pdf | Ataque fantasma e ataque de adivinhação em grupo | ||||||
| Qualcomm 9206 | Criança levada | BT/BLE? | 1 | 2022 | CVE-2022-40503 | 8.2 | https://www.cvedetails.com/cve/CVE-2022-40503/?q=CVE-2022-40503 | Sobreleitura de buffer no perfil A2DP | ||||
| Qualcomm APQ8009 | Criança levada | BT/BLE? | 1 | 2022 | CVE-2022-40537 | 7.3 | https://www.cvedetails.com/cve/CVE-2022-40537/?q=CVE-2022-40537 | Corrupção de memória ao processar a resposta AVRC_PDU_GET_PLAYER_APP_VALUE_TEXT AVRCP | ||||
| Qualcomm WSA8815 | Criança levada | BT/BLE? | 1 | 2022 | CVE-2022-33280 | 7.3 | https://www.cvedetails.com/cve/CVE-2022-33280/?q=CVE-2022-33280 | Corrupção de memória durante o processamento do pacote AVRCP | ||||
| Qualcomm WSA8835 | Criança levada | BT/BLE? | 1 | 2022 | CVE-2022-33255 | 8.2 | https://www.cvedetails.com/cve/CVE-2022-33255/?q=CVE-2022-33255 | Sobreleitura do buffer HOST do Bluetooth durante o processamento de GetFolderItems, GetItemAttributes | ||||
| Qualcomm WSA8835 | Criança levada | BT/BLE? | 1 | 2022 | CVE-2022-22088 | 9,8 | https://www.cvedetails.com/cve/CVE-2022-22088/?q=CVE-2022-22088 | Estouro do buffer de host Bluetooth durante o processamento da resposta remota | ||||
| SnapDragon Auto | Criança levada | BT/BLE? | 1 | 2021 | CVE-2021-35068 | 9,8 | https://www.cvedetails.com/cve/CVE-2021-35068/?q=CVE-2021-35068 | Desreferência de ponteiro nulo ao liberar o perfil HFP | ||||
| Confusão de métodos | Protecção | BT/BLE? | 2.1-5.2 | 1 | 2020 | CVE-2020-10134 | 6.3 | enorme seleção com diferentes capacidades. | https://github.com/maxdos64/BThack | https://www.sec.in.tum.de/i20/publications/method-confusion-attack-on-bluetooth-pairing/@@download/file/conference-proceeding.pdf | MITM entre 2 dispositivos BLE ou BR/EDR. É necessário hardware estranho, CVE-2020-10134 | |
| BlueSnarf revisitado | Criança levada | OBEX | 1 | 2011 | https://inria.hal.science/hal-01587858/document | Travessia de caminho OBEX (FTP) |
A sintaxe de referência YAML DSL está disponível aqui .
Testamos XXXXXXX dos seguintes fabricantes e conseguimos encontrar mais de 60 novas vulnerabilidades neles:
**Programado para agosto de 2024**
Para testar todas as vulnerabilidades, seria necessário comprar hardware adicional:
- ESP-WROVER-KIT-VE para vulnerabilidades do Braktooth
- Nexus5 (telefone) para vulnerabilidades baseadas em Internalblue. Ele também poderia ser substituído pelo CYW20735, mas seria necessário um perfil de hardware adicional e 2 explorações não seriam reproduzíveis.
- CYW920819M2EVB-01 para ataques BIAS, BLUR e BLUFFS
Consulte https://github.com/sgxgsx/wiki/ para obter detalhes sobre como executar o BlueToolkit
BlueToolkit é distribuído sob licença MIT
Comentários
Postar um comentário