Mensajes

Hola,

La idea como decia era usar un Blue MAC Spoofing y el CarWhisper juntos.

Se supone que si pillas un manos libres de un coche y un terminal telefonico cercano... hay muchisimas probabilidades de que esten vinculados.

La idea es: en vez de entrar en el manos libres (con PINs conocidos) entrar en el telefono aprovechando que se conoce la MAC = BT_ADDR del manos libres.

Saludos,
Sir Graham.

Hola,

Es lo mismo. De echo, los modulos internos bluetooth de un PC (normalmente solo los encuentras tipicamente en portatiles) esta internamente conectados "tambien" por USB.

Vamos. Es lo mismo un modulo externo (dongle) que uno interno, todo esto "obviamente"  siempre que tengas los drivers y el S.O te lo reconozca.

Saludos,
Sir Graham.

Hola,

Visto que estais muy interesados en el tema de nuevos atakes para bluetooth, escribo unas lineas de una aproximacion a una nueva "experiencia".

Se trata de usar el  Blue MAC Spoofing y el CarWhisper juntos.

La idea es muy simple, pero puede ser efectiva:

Existe una alta probabilidad que al realizar un escanner, encontremos un manos libres y un dispositivo bluetooth (telefono) que esten entre si emparejados.
Si usamos la MAC de ese manos libres para suplantarlo en nuestro modulo bluetooth, es muy probable que al intentar realizar un envio Obex Push (sin autentificacion) al movil, esten emparejados y entre sin problemas.

Comento el perfil Obex Push por que solo requiere confirmacion, no autentificacion, por lo que no se necesita la clave de encriptacion. Solo la MAC.

Ya teneis una idea para hacer intentos.... no es muy dificil de desarrollar.

Saludos,
Sir Graham.

Hola,

Habeis probado sin el RFComm: Directamente con el ObexFTP...

Saludos,
Sir Graham.

Hola,

Normalmente lo que te vas a encontrar es una definicion del BUG. A partir de hay se elabora en base al S.O y el Stack que tengas en el una implementacion del atake. No creo que encuentres ejemplos ya implementados. No obstante, no son tan dificiles de hacer....

Saludos,
Sir Graham.

[¿Como sabes el puerto del perfil de bluetooth de OBEX?]

Hola,

Ya veo.    Cuando conectas con el protocolo RFCOMM....

¿Como sabes el puerto del perfil de bluetooth de OBEX?

Te digo esto por que con un hciconfig scan solo sabes la direccion MAC.
Te falta obtener la lista de perfiles vinculados al SDP del dispositivo remoto y obtener asi el canal donde esta configurado el perfil del OBEX..

eso se hace con:

# sdptool browse 11:22:33:44:55:66 (la MAC del dispositivo remoto)
.
.
.
.

Service Class ID List:
  "Obex FTP" (0xxxxx)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 3                      <------------ es el dato que te falta


En estos comandos:

# rfcomm bind 0 11:22:33:44:55:66 2
# obexftp -b 11:22:33:44:55:66 -B 2 -l

Te has "inventado" que el perfil Obex FTP este en el "canal 2".
Por que obtenerlo, pues no lo has obtenido. 

En cada dispositivo con bluetooth  el canal de cada perfil puede estar configurado de forma diferente. Depende de la configuracion inicial del Stack de bluetooth del fabricante. Lo puede poner en el 2 o en 3 o en el que le de la gana....

Saludos,
Sir Graham

Hola,

Vale.

El tema es que en Symbian/Windows mobile estas mas limitado que en un PC. El acceso al modulo de Bluetooth solo se puede hacer a traves del API propio de esos SO y/p el Stack de Bluetooth (que solo usa un subconjunto de comandos HCI). Vamos que estas acotado a lo que te dejan en "modo Standard".

Asi todo en un PC, no puedes hacer grandes cosas en el tema de seguridad en
bluetooth.  Los ataques estandar (bluebug, Hello moto, etc...) estan obsoletos.

Lo mas que puedes llegar hacer hoy en dia es sniffar el proceso de vinculacion. Pero para eso tienes que tener un modulo especial de bluetooth preparado para ello y pillar a alguien justo cuando hace una vinculacion de dispositivos bluetooth (en un caso real eso es casi imposible).

Me temo que es lo que hay.

Saludos,
Sir Graham.

Hola,

Pues es el camino. El OBEX en sus dos perfiles: Push y FTP es protocolo adecuado para ello.

Cual es el problema?

Saludos,
Sir Graham.

[el PIN solo es semilla]

Hola,

En el caso de bluetooth, el PIN solo es semilla para un intercambio de claves de 2^128 bits.

La clave real de acceso a un modulo de bluetooth NO ES EL PIN QUE METES. Es un numero de 16 BYTES de largo.

Creo que deberias leer este post de Unravel:

http://foro.elhacker.net/hacking_mobile/bluetooth_pin_cracking-t73806.0.html

Si el caso de Brute force fuera de 0000 a 9999 seria cuestion de milesimas de segundo... pero no es el caso.


Saludos,
Sir Graham.

Hola,

Una tecnica de Brute Force solo esta disponible cuando el calculo de computacion no supere "en varios Siglos de tiempo" el encontrar la clave....

En el caso de bluetooth, el PIN solo es semilla para un intercambio de claves de 2^128 bits.

Para que nos hagamos a la idea de cuantas combinaciones de claves supone un numero con 128 bits: Hay menos granos de arena en una playa que combinaciones en un numero de 128 bits...

Es lo que hay. Justamente el uso de esas logitudes estan diseñados para evitar cualquier intento de "brute Force".

Saludos,
Sir Graham.