схема аутентификации устройств

1. Устройство, инициирующее соединение, посылает свой адрес (BD_ADDR). (Этот 48-битный адрес является уникальным, как MAC-адрес сетевой карты. По адресу можно определить производителя устройства.)
2. В ответ посылается случайная 128-я последовательность AU_RAND(challenge).
3. На основе BD_ADDR, Link Key и AU_RAND оба устройства генерируют шифропоследовательность SPES.
4. Устройство, запрашивающее соединение, отправляет свою SPES.
5. Запрашиваемое устройство сравнивает полученную и свою SPES и при их совпадении устанавливает соединение.


Хотя PIN-код в открытом виде не передается, он может быть взломан исходя из перехваченных BD_ADDR, AU_RAND и SPES.

Виды атак на Bluetooth

BlueBug
Данная уязвимость позволяет атакующему выполнять с устройствами с включенным Bluetooth неавторизованные действия.

В идеальном случае атака может быть выполнена всего за несколько секунд. Радиус ее действия ограничивается радиусом действия устройств класса 2, т.е., как мы упоминали ранее, 10-15 метрами. Чтобы увеличить это расстояние, можно использовать направленную антенну.

Так как некоторые телефоны поддерживают возможность запуска AT-команд, то атакующий может выполнить следующие действия:
инициировать телефонный звонок;
посылать SMS-сообщения на любой номер;
читать SMS с телефона;
читать и писать записи телефонной книги;
устанавливать переадресацию звонков.

А также многое другое.

Blueprinting
Blueprinting позволяет получить детальную информацию об удаленном устройстве. Как уже отмечалось ранее, каждое Bluetooth-устройство имеет уникальный Bluetooth-адрес. Этот адрес состоит из 6 байт и обычно представляется, подобно MAC-адресу, в формате MM:MM:MM:XX:XX:XX. Первые три байта, отмеченные как M, содержат сведения о производителе микросхемы. К сожалению, с оставшимися тремя байтами X не все так просто, и модель устройства нельзя определить однозначно.

Каждое Bluetooth-устройство предоставляет те или иные сервисы. Какие именно, можно узнать через SDP (service discovery protocol). На запрос о предоставляемых сервисах можно получить информацию определенного формата, на основе ответа можно вычислить конкретную модель устройства.

BlueSmack
DoS-атака, которая может быть осуществлена с помощью утилит, входящих в состав Linux Bluez.

Данная атака - подобие известной атаки на ранние версии Windows 95. На уровне L2CAP существует возможность послать запрос на отклик другого Bluetooth-устройства.

Идея такого запроса, как и в случае ICMP ping, заключается в проверке соединения и измерении времени отклика на установленное соединение. С помощью утилиты l2ping, которая распространяется в дистрибутиве BlueZ, пользователь может задавать длину посылаемых пакетов. Для получения желаемого эффекта необходимо через опцию -s указать размер около 600 байт.

BlueSnarf
Пожалуй, это самая известная Bluetooth-атака. Атакующий использует OBEX Push Profile (OPP), который служит для обмена бизнес-картами и другими объектами. В большинстве случаев этот сервис не требует аутентификации. BlueSnarf выполняет OBEX GET запрос к известным файлам, например, telecom/pb.vcf (адресная книга) или telecom/cal.vcs (календарь). В случае небрежной реализации firmware атакующий может получить доступ ко всем файлам.

BlueSnarf++
Очень похожа на BlueSnarf. Основное отличие в том, как атакующий получает доступ к файловой системе. BlueSnarf++ дает атакующему полный доступ на чтение и запись через OBEX Push Profile. Если на устройстве запущен OBEX FTP сервер, то через OBEX Push сервис можно соединиться без установки доверительных отношений (pairing).

Атакующий может просматривать содержимое файловой системы (через команду ls) или, например, удалять файлы (команда rm). Возможны действия с любой памятью, в том числе и с картами расширения memory stick или SD.

HelloMoto
Представляет собой комбинацию атак BlueSnarf и BlueBug.

Использует неправильную обработку «trusted device» на телефонах Motorola.

Атакующий инициирует соединение через OBEX Push Profile, симулируя посылку vCard. Затем происходит прерывание процесса отсылки, после чего устройство атакующего сохраняется в списке доверенных устройств на телефоне атакуемого. Благодаря записи в этом списке атакующий имеет возможность соединения с headset profile без аутентификации. Установив соединение, атакующий имеет возможность управлять устройством посредством AT-команд.

BlueBump
Данная атака требует от атакующего применения методов социальной инженерии. Идея заключается в установке доверительных отношений атакующего и жертвы. Этого можно достигнуть посылкой бизнес-карты, чтобы заставить атакуемого произвести аутентификацию. Атакующий сохраняет соединение открытым, но просит жертву удалить ключ для аутентификации атакующего. Жертва не догадывается, что соединение еще открыто, в этот момент атакующий запрашивает регенерацию ключа. После подобных действий атакующий получает новую запись без аутентификации. С этого момента атакующий имеет доступ к устройству, пока ключ не будет удален.

Атака на BlueDump
Link Key. В данном случае атакующий должен знать BDADDR paired устройств. Атакующий подменяет адрес одного из устройств и от его имени соединяется с другим. У атакующего нет ключа аутентификации, и на запрос жертвы об аутентификации он отвечает «HCI_Link_Key_Request_Negative_Reply». В части случаев это приводит к тому, что жертва удаляет собственный ключ аутентификации и устанавливает pairing режим.

BlueChop
Направлена на разрушение piconet-сети устройством, не входящим в состав сети. В основе атаки лежит возможность того, что master-устройство должно поддерживать несколько соединений для образования расширенных сетей (scatternet). Атакующий случайным образом подменяет адреса устройств из piconet и соединяется с master'ом, что приводит к разрушению piconet.