Introducing new Pocket Car Whisperer Attack!

Iniciado por Gospel, 25 Enero 2006, 12:27 PM

0 Miembros y 1 Visitante están viendo este tema.

Gospel

INTRODUCING NEW POCKET CAR WHISPERER ATTACK

Página oficial del proyecto: http://gospel.endorasoft.es/bluetooth/seguridad-bluetooth/car-whisperer.html#PocketCarWhisperer

PRÓLOGO

El ataque Pocket Car Whisperer es una implementación del ataque Car Whisperer utilizando como plataforma de ataque un equipo PDA Pocket PC.

El objetivo de este proyecto es sensibilizar a los fabricantes de dispositivos Manos Libres Bluetooth para automóvil acerca de la amenaza para la seguridad que supone incorporar claves PIN por defecto como medio para emparejarse con estos dispositivos.

La primera vez que dos dispositivos Bluetooth intentan comunicarse, se utiliza un procedimiento de inicialización denominado emparejamiento para crear una clave de enlace común de forma segura. Esta clave de enlace se genera a partir de una clave de seguridad Bluetooth (clave PIN), que es requerida a cada dispositivo y que debe ser la misma para los dos.
Posteriormente, cuando los mismos dispositivos se comuniquen por Bluetooth, utilizarán la clave de enlace para funciones de autenticación y cifrado.

El hecho de incorporar una clave PIN por defecto en un dispositivo Bluetooth significa que cualquier usuario con conocimiento de esa clave estándar puede emparejarse con el dispositivo y comunicarse con él de forma autorizada.
En el caso de un dispositivo Manos Libres Bluetooth, le permite acceder a las funciones de audio implementadas en el terminal:

- Capturar el audio recogido por el micrófono del dispositivo, lo cual permitiría escuchar conversaciones privadas en el interior del vehículo.



- Inyectar audio que sería reproducido por los altavoces del dispositivo, lo cual permitiría proyectar mensajes de voz a los ocupantes del vehículo.



Es evidente que la consecución de un ataque Car Whisperer con éxito puede comprometer la intimidad y seguridad al volante de los pasajeros de un automóvil con el dispositivo Manos Libres activado.


DESCRIPCIÓN DEL ATAQUE POCKET CAR WHISPERER

1) DISPOSITIVOS EMPLEADOS PARA LA DEMOSTRACIÓN

PLATAFORMA ATACANTE: POCKET PC con Windows Mobile 2003



OBJETIVO: Dispositivo Manos Libres Bluetooth


2) ESCANEO Y BÚSQUEDA DE UN DISPOSITIVO MANOS LIBRES BLUETOOH EN MODO VISIBLE

Activamos Bluetooth en la PDA y abrimos el programa gestor de conexiones Bluetooth. Especificamos que el dispositivo a encontrar es un Manos Libres.

   


3) EMPAREJAMIENTO CON EL MANOS LIBRES

El gestor de conexiones Bluetooth encuentra un dispositivo Manos Libres llamado HF009. Intenta conectarse con él y es requerido un proceso de emparejamiento, para lo que se necesita introducir una clave de seguridad Bluetooth.
Para que el emparejamiento tenga éxito, la clave de seguridad debe ser la misma que tiene almacenada por defecto el Manos Libres, suele ser 1234, 0000, 8888...

 


4) CONEXIÓN AL PERFIL DE AURICULARES

Si el emparejamiento se ha producido satisfactoriamente, el gestor de conexiones Bluetooth crea un acceso directo al perfil de auriculares ofrecido por el dispositivo Manos Libres.

 


Nos conectamos al perfil de auriculares.

 


5) CAPTURA E INYECCIÓN DE AUDIO EN EL MANOS LIBRES

Si la conexión se ha realizado con éxito, tendremos acceso a las funciones de audio soportadas por el perfil de auriculares:

- Capturar el audio recogido por el micrófono del dispositivo.
- Inyectar audio que será reproducido por los altavoces del dispositivo.

Para realizar estas funciones de audio, utilizaremos la aplicación Micrófono incluida en Windows Mobile. Originalmente, esta aplicación está diceñada para:

- Tomar notas de voz, que son recogidas por el micrófono de la PDA.
- Reproducir notas de voz grabadas anteriormente.

Nosotros vamos a darle otro uso a esta aplicación, de forma que una vez nos hayamos conectado al perfil de auriculares y se haya creado una pasarela de audio estableciendo enlaces síncronos orientados a conexión (SCO) para la transmisión de audio en ambas direcciones, podremos:

- Activar la aplicación Micrófono de la PDA y capturar/grabar/almacenar el audio recogido por el micrófono del Manos Libres. Esto puede permitirnos tener acceso a conversaciones privadas entre los ocupantes del interior del vehículo objetivo.
- Grabar mensajes de voz por el micrófono de la PDA, que al ser reproducidos durante una sesión de ataque, se proyectarán en el interior del vehículo objetivo a través de los altavoces del Manos Libres, con el consecuente sobresalto del conductor y el resto de pasajeros.

Adicionalmente, cualquier sonido o archivo de audio que sea reproducido en la PDA será proyectado a través de los altavoces del Manos Libres. Esto significa que si reproducimos un archivo de música en el Windows Media Player, el sonido se escuchará en el interior del vehículo objetivo.

   


Para finalizar el ataque, nos desconectamos del dispositivo Manos Libres.


COMENTARIOS SOBRE LA DEMOSTRACIÓN DEL ATAQUE

Durante el experimento se han llevado a cabo los dos tipos de ataque:

- Captura del audio recogido por el micrófono del Manos Libres en el interior del vehículo.
- Inyección de audio que ha sido proyectado por los altavoces del Manos Libres en el interior del vehículo.

En ambos casos, se ha obtenido una distancia máxima de acción en torno a 10 metros a la redonda, suficiente para que esta experiencia pueda ser reproducida en un escenario de ataque real desde otro vehículo o a pie, siempre que nos mantengamos junto al objetivo en ese radio de cobertura.

 


 
RECOMENDACIONES DE SEGURIDAD

Consejos para evitar recibir un ataque Car Whisperer:

- Utilizar Manos Libres cuyo fabricante no haya determinado una clave PIN por defecto para poder realizar el emparejamiento con todos los modelos del dispositivo, sino que cada unidad incorpore una clave PIN aleatoria especificada durante su producción. También sería seguro un dispositivo que incluyese un teclado o similar para que el usuario pudiera especificar individualmente la clave PIN que desea utilizar para el emparejamiento.

- Utilizar Manos Libres que necesiten una configuración manual del mismo para permitir el emparejamiento con otros dispositivos. Existen algunos modelos que se muestran en modo oculto a ojos de dispositivos no emparejados y sólo entran en modo visible a la hora de permitir el emparejamiento, y para ello es necesario apretar una combinación de teclas manualmente en el dispositivo.

- Mantener encendido el Manos Libres únicamente cuando se vaya a utilizar. En cualquier otro caso, tenerlo activado sólo sirve para agotar la batería y ser objetivo potencial de un ataque Car Whisperer.

- Siempre que el Manos Libres esté encendido, debe estar conectado a un teléfono móvil. La mayoría de Manos Libres admiten varios dispositivos emparejados, pero solamente uno conectado. Si el Manos Libres atacado está conectado en ese momento con un teléfono móvil, el atacante no podrá conectarse con éxito al dispositivo, ya que este se encuentra ocupado.


#Borracho.-

Si nos quedamos en este mundo, que no sea con hambre...

#Borracho.-

Una sola duda... Si la victima tiene un manos libres con una clave que no es de serie, o sea puesta por él, es posible de la pocket sacarla?

Saludos
Si nos quedamos en este mundo, que no sea con hambre...

Gospel

Pues no! Este ataque se basa en la falta de seguridad que supone que los fabricantes de manos libres impongan claves por defecto para realizar el emparejamiento.

Si la clave es aleatoria,el atacante no la conoce y no puede conectarse al manos libres. Esta es una solución para evitar el ataque car whisperer.

salu2

Crack_X

Una pregunta de un perdido en el bluetooth  :)

Viendo que las claves por defecto que pones son "1234, 0000, 8888,etc." , todas las claves o pin son de 4 digitos? Y si ese es el caso no se podria programar un brute force?
Shit loads of money spend to show us wrong from right. Say no to war


Yasser Has Things To Say
WarZone

Ertai

Cita de: Crack_X en 26 Enero 2006, 11:29 AM
Una pregunta de un perdido en el bluetooth  :)

Viendo que las claves por defecto que pones son "1234, 0000, 8888,etc." , todas las claves o pin son de 4 digitos? Y si ese es el caso no se podria programar un brute force?

No. La mia, por ejemplo, es de 6 dígitos.
Si la felicidad se comprara, entonces el dinero sería noble.


void rotar_by_ref(int& a, int& b) {
   /* Quien dijo que no se podia sin una variable temporal? */
   *a = *a ^ *b;
   *b = *a ^ *b;
   *a = *a ^ *b;
}

Gospel

El ataque de fuerza bruta en Bluetooth no tiene sentido.

En primer lugar, las claves no se limitan a 4 digitos, pueden llegar a los 128 bits (16 bytes).

En segundo lugar, Bluetooth incorpora un mecanismo de seguridad tal que sucesivos intentos incorrectos de emparejamiento incrementan el retardo entre los intentos posteriores. Es decir, a partir de cierto número de intentos de emparejamiento, si fallamos, el tiempo necesario para poder volver a intentar el emparejamiento se incrementa. Una posible solución a este problema sería cambiar la dirección Bluetooth del dispositivo atacante cada vez que se intenta probar una clave PIN, pero sigue siendo inviable...

Bluetooth es sin duda uno de los protocolos más seguros del mundo. El problema de la seguridad en dispositivos Bluetooth, siempre lo hemos dicho, no radica en el protocolo en sí, sino en la implementación que realizan los fabricantes al producir los dispositivos, descreocupándose por implantar mecanismos de seguridad y dejando fallas al descubierto.

Salu2

alkan

Hola Gospel! Tengo una Dell Axim X51V y no se si sabras q viene con el stack de Bluetooth de M$ (una cagada), pero en el foro de aximsite.com consiguieron pasar el stack de Widdcom a la serie Axim.

Bien, yo quiero q mi PDA me diga las instrucciones del TomTom en los altavoces. Para ello, creo el enlace, pero al conectarse la PDA al Parrot directamente me mutea la radio aunq no emita ningun sonido. Editando unos valores del registro consegui conectarlos sin q mutease la radio, saliendo tb en la barra de arriba de la PDA (donde pone inicio) un icono de unos casquitos. Pero al emitir un sonido, lo reproduce en la PDA.

Entonces te queria preguntar si a ti tb te mutea la radio nada mas conectarlo, si no es asi y si no es mucha molestia q me pasaras una exportacion de todas las claves del registro de WIDDCOM. Una vez yo pruebe con tus claves y viese q funciona lo postearia en Aximsite para que corrijan el error.

Siento el tocho, muchisimas gracias.

Saludos!
||||||||||||||||||||||||||||||
PoR uN BueN HaCKiNG eSPaÑoL
SiN FaSCiSMo DiGiTaL

Aser7

Hola Gospel me encanta todo esto de la seguridad por Bluetooth te quería preguntar si tienes una lista de todos los fabricantes de manos libres por bluetooth y así poder llenarlo los usuarios del foro con el pin que traen de fábrica para así tener más posibilidad de hacer el ataque de carwhisper.
Espero sus opiniones.

mitoz

Un aplauso Gospel...  ;D

http://trifinite.org/Downloads/carwhisperer-0.2.tar.gz

No lo he usado no tengo Linux en esta maquina...  :huh:

Espero les sirva.. Salu2... avisen como les fue.. q tal esta descarga..   :¬¬

JUA...  :o :o