跳转至

对某款智能手环的分析与攻击

对某款智能手环的分析与攻击

首先确定手环的 MAC 地址,使用 APP 进行扫描连接,连接成功就会显示设备的 MAC 地址:A4:C1:38:6A:1C:BF

1646310527446-1f0c26d7-9048-47cb-b0f7-517aa0072443.png

接下来解除绑定,使用 TI 的 packet sniffer 进行蓝牙数据包的捕获,插入 CC2540 后选择好类型,开始捕获后再查找手环进行绑定,因为 BLE 会随机在 37、38、39 三个信道中选择一个,而 packet sniffer 只能监听一个信道,所以可能需要多试几次才能捕获到,其中 M->S 表示是手机发送给手环,S->M 是手环发送给手机

1646310527893-14baf1cb-47ca-48aa-99bf-6db67148ac10.png

有些可疑的包标记一下,这两个都包含了当前的步数 100,即 0x64,且都是从手机端发送一个请求之后从手环发回来的

1646310528459-d552ab52-5b76-4cee-bf65-f9185039d6fd.png

1646310528955-8b417aef-bcf5-4849-8787-cf192f54a029.png

在捕获的最后阶段,我摁下了几次查找手环的命令,这应该是查找手环的震动效果

1646310529487-7c6ef1ce-3d36-4405-9c46-c11ca91ac4b6.png

但是此时通过 gatttool 或者 nRFconnect 进行发送是不成功的,因为手环需要进行绑定才能通信,接下来使用 AndroidKiller 抓取 APP 的日志进行分析,查看 APP 是如何与手环进行通信的

打开 AndroidKiller 后连接手机,在 Android 中已找到设备中就可以看到手机了,然后点击日志

1646310529948-c6d5e486-0b4c-4eb6-9412-d723be51a78d.png

点击开始进行日志的捕获

1646310530442-b0643c0a-3584-427e-9b84-1449f7855405.png

打开 APP,进行绑定等操作,这里进行 ble 扫描

1646310531074-21a78471-a72a-4f11-bd12-4ccbbc6a00b8.png

这里进行 BLE 的连接

1646310531632-a2ef627c-5ce1-4b70-bfd4-1d28414c3602.png

BLE 连接成功,此时虽然连接成功但是仍然没有绑定设备

1646310532238-31c65d2e-c800-44ce-80b3-9069943d6b9b.png

向手环发送了一条指令:430000dc,猜测是用来进行绑定,可以先记录下来,后边通过 gatttool 进行验证

1646310532766-4463e106-7c3d-4666-9cc7-292548e95538.png

这里发送了指令:0100000b,用来同步配置信息 getDeviceInfo

1646310533742-4c5e16c5-dc45-40d2-889e-c0d6e725e06d.png

指令:02000006 作用仍然是同步配置信息 getDeviceState

1646310534346-68f78b1f-35de-483c-b198-946da661ce65.png

获取手环电量指令:27000074

1646310535157-90648b81-d4ea-470e-ae13-f51c83c6d7b4.png

获取步数、卡路里、距离等指令:2001000070

获取心率等指令:21010000c6

(这里只是根据值大致推测了一下,并没有逆向APP查看每个字段的范围)

1646310535831-32009bdd-be41-4a48-8f5a-7958ae7bf16c.png

获取体温数据指令:2c01000078

1646310536340-129dbe9e-e956-409e-bb9b-f143ae7b8c66.png

查找手环指令:1008000000000001000000c00000000000000000,效果是三次长时间的震动

1646310536946-6cca6462-10b0-4ab1-aee4-5a3d5975a720.png

手环还支持将 APP 收到的消息推送到手环上显示

1646310537385-f03a4fd2-763c-46c9-96a2-26fd6634236b.jpeg

打开后给上面列表中支持的 APP 发送消息,手环就会显示收到的消息

1646310537854-17f77442-fcd9-4341-b0e5-4100076d3733.jpeg

查看一下这个过程的日志,可以发现如下信息:

首先是 0a020000020e,告诉手环要推送消息

1646310538398-419b6b95-f583-4480-a009-d4a06f41e217.png

然后是发送人的昵称:test,这里的指令为 0a050001746573743a

1646310539468-2aabe2f0-a877-44bf-aea6-2d7f87beb9c4.png

这里是发送的消息,1234,指令为 0a05000231323334

1646310539892-17cdbcd7-0b3b-4fd2-9d94-33220bb34fad.png

最后是指令 0a0100030e 表示消息都发送完了,手环可以显示了

1646310540509-8ab1128a-61b4-4a79-886c-d1685a97068b.png

除了前后两条指令,消息部分指令中间一部分可以很明显知道是 ASCII 的十六进制,但是整条指令的构成需要对 APP 进行逆向分析,通过日志前面的 tag 可以知道这是在 CmdHelper.java 中实现的,使用 jadx 打开 APP,找到CmdHelper,位置在 com->runmifit.android->util->ble->CmdHelper,找到 setMessage2,可以看到他接收的参数是一个整形一个字符串,根据日志的上下文可以推测是 IntelligentNotificationService传给他的参数,定位到 com->runmifit.android->sevice->IntelligentNotificationService,发现只有两个地方调用了 setMessage2,一个传 1 一个传 2

1646310541093-f83d1f5c-3357-4c62-a857-90cab447ba33.png

此时再回来看一下 setMessage2 中参数 i 的用途,猜测这个是用来区分是发送人昵称还是消息的字段

1646310541594-4824c787-d7c9-4aa3-bfb7-67a07e98af84.png

setMessage2 函数主要作用是构造一个 bArr2 数组给 spliteData 函数,这里主要看以下 bArr2 的构成

1646310542130-30c8ce5b-1e8c-4715-bee3-bb5b92fa1918.png

这里的 i2 是之前计算的长度,它加了5个字节作为构造出的指令的长度,bArr2[0] = 10; 开头是固定的 0a,然后两个是用来存放长度+1 的,然后是区分昵称还是消息的字段,接着把消息拼接上,最后是一个 completeCheckCode,往上面翻一下定位到该函数

1646310542583-69841216-b4ed-485c-a0a1-0ce01c06f8fe.png

他只是把传进去的数组挨个遍历加起来然后乘上 86 再加上 90,得到的结果取末尾一字节,作为一个校验。因为昵称和消息内容都是用 setMessage2 函数生成的,所以构成方法一致

至此,消息指令的构成就分析完了,试着来构造一个消息:sec 发送的 hacked

sec 的 ascii 码分别是73 65 63,长度是 3+1=4,计算最后的校验位 0a+04+01+73+65+63=14A 即十进制的 330,330*86+90=28470,也就是 6F36,取末尾一位 36

1646310543234-754dbbc2-1917-4a52-bab9-be40551541d5.png

所以昵称的指令为:0a04000173656336,同理消息的指令为:0a0700026861636b6564fc

接下来使用 gatttool 进行验证,需要蓝牙适配器支持 ble 通信,使用命令 hciconfig hci0 up 将蓝牙适配器激活

1646310543708-4b33b1f0-ee62-4f8b-a161-5f85994d3b22.png

gatttool -I -b A4:C1:38:6A:1C:BF 进入交互模式,其中 -I 表示进入交互模式,-b 指定 MAC 地址,进入后使用 connect 进行连接,输入 help 查看帮助

1646310544222-119fb88f-6384-4511-8c89-e0f2fa6db774.png

输入 characteristics 查看所有的特征,我们要使用的句柄是 0x11

1646310544714-5f0d6c46-e17a-46fb-aef5-ab534e0e1d80.png

首先发送 430000dc 进行绑定,然后就可以发送其他的指令。例如获取手环步数、查找手环让手环震动、获取手环心率等,我们先给手环推送一下之前分析的消息,测试一下判断的是否正确

1646310545205-ba992fff-be22-406e-adea-6736231b2625.jpeg

可以看到我们自定义的消息成功被推送到了手环上并显示出来

附:

021000320500010001010001ff000000000000e2 打开消息推送

021000320500010001010000ff0000000000008c 关闭消息推送

原文: https://www.yuque.com/hxfqg9/iot/ltx5lr