本文介绍了如何利用Android手机的BTSNOOP功能捕获并分析蓝牙数据包,特别是针对蓝牙低功耗(BLE)的安全密钥交换过程。通过Wireshark解析btsnoop_hci.log文件,揭示了蓝牙会话的加密细节,展示了重放攻击的可能性,并强调了固件更新对于保护智能设备的重要性。
点击蓝字
关注我们
逆向智能门锁漏洞分析PART(一)后续篇
BTSNOOP (安卓蓝牙 HCI 记录器)
最终,BTSNOOP必须成为我最大的发现之一,当想要捕捉一个完整的蓝牙会话之间的中央(手机)和外设(锁),我尝试各种方法来捕获我的OTA蓝牙会话,包括北欧的nRF嗅探器开发板nRF52840-DK,Sena的UD100加密狗,Ubertooth-One和德州仪器CC2540加密狗。所有这些方法的问题在于,由于蓝牙低功耗 (BLE)通道跳跃,它们无法跟踪连接。北欧nRF52840-DK在与 Wireshark 和北欧的 BLE 嗅探器插件一起使用时非常接近,但不幸的是,数据包捕获是在链路层(而不是主机控制器接口层),导致无法解析的加密数据。
由于它不是在 HCI 层捕获的,这意味着它容易受到 CCM AES-128 BLE 安全密钥交换协议握手的影响。根据我的判断,这意味着如果nRF52840-DK在配对时没有嗅探,它将完全错过安全握手,导致数据包没有解密。
重要提示:NRF 嗅探器缺点!
如果 KeyWe 锁在配对后执行通道跃点,但在 App 传输第 1 个数据包之前,nRF 嗅探器将错过初始 CCM AES-128 BLE 安全密钥交换。这将导致加密的"无用的"数据包。这是 nRF 嗅探器无法遵循通道图的一个缺陷。注意:CCM AES-128 BLE 安全密钥交换是所有蓝牙低功耗 OTA 无线连接中的安全协议,可防止 MiM 窃听。
CCM AES-128 BLE 安全密钥交换:
(这是与 KeyWe 项目无关的一般信息)
临时密钥在蓝牙配对过程中使用。短期密钥用作首次设备对加密连接的密钥。短期密钥使用三条信息生成:临时密钥和两个随机数,一个由从站生成,另一个由主项生成。
使用短期密钥加密连接后,其他密钥将分发。长期密钥替换加密连接的短期密钥。身份解析密钥用于隐私。连接签名密钥用于身份验证。
幸运的是,有一个极好的方法来捕捉蓝牙流量使用您的ANDROID设备!
在 Android 手机上
•转到设置
•如果未启用开发人员选项,请现在启用
•转到开发人员选项
•启用选项 启用蓝牙 HCI 窥探日志
•执行需要捕获的操作(会话)
•禁用选项 启用蓝牙 HCI 窥探日志
•使用亚行(安卓调试桥)将文件复制到 PC
•感兴趣的文件btsnoop_h
最低0.47元/天 解锁文章
扫一扫
8873
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
