Un informaticien du côté du mal

La XIe édition de RootedCON est là. Je vous ai dit récemment qu’il s’agissait d’une semaine spéciale, remplie de nombreuses heures intenses entre formation et conférences, préparation, exposition, lieu de rencontre avec d’anciens et de nouveaux amis. Cette année, j’étais de retour pour donner une conférence, que nous avons appelée « Hacking the outside world through BLE BlueTooth Low-Energy », cette fois avec mon partenaire Alvaro Nuñez.

Figure 1 : Hacking Things with Bluetooth Low-Energy (BLE)

Le sujet de la conférence était le BLE ou Bluetooth Low-Energy, sur lequel au cours de cette dernière année nous avons travaillé et passé des heures. L’un des outils où le travail a été intégré est le HomePWN. L’exposé avait une structure et un objectif clairs. L’objectif était de montrer ce qu’est le BLE, que nous l’avons autour de nous à travers de nombreux dispositifs avec lesquels nous interagissons au quotidien, de montrer les précédents en matière de sécurité BLE au cours des dernières années, d’évaluer la sécurité des types de dispositifs et de montrer les attaques sur la technologie BLE et, enfin, de parler de la fortification en pensant aux personnes qui conçoivent les dispositifs et qui ont besoin du BLE dans ceux-ci.

Figure 2 : HomePWN sur GitHub

Nous voulions lui donner une approche pratique et également montrer le genre de choses avec lesquelles nous avons travaillé, donc nous avons mis la main à la pâte et montré la démo impaire, y compris une démo en direct.
Introduction au BLE
Nous avons voulu commencer par donner les détails techniques les plus importants du BLE afin que chacun puisse comprendre son fonctionnement. De la manière la plus simple et d’une manière qui nous permettrait de faire correspondre certaines nouvelles ou certaines attaques avec les concepts vus dans l’introduction. Il s’agit notamment d’expliquer pourquoi la technologie BLE apparaît, ce qu’elle apporte à la technologie sans fil, quelle est sa portée, c’est-à-dire quels sont ses canaux (37 données et 3 annonces), etc.

Figure 3 : 37 canaux de données et 3 canaux de publicité dans BLE

En outre, l’explication de concepts clés tels que les suivants :

  • Adresse d’accès.
  • Comment s’effectue le saut de canal ?
  • Carte des canaux
  • Intervalle de saut
  • Incrément de saut
  • Types d’algorithme de saut

Après avoir également expliqué les types de paquets BLE ou les types d’en-tête, qui indiquent quel type de paquet  » d’annonce  » nous avons en main, nous nous concentrons sur le paquet de type CONNECT_REQ.

Figure 4 : Saut de canal en BLE

Dans la capture de figure ci-dessous, vous pouvez voir comment après avoir capturé un de ces paquets, nous pouvons voir les concepts qui avaient été présentés précédemment, à la fois grâce à l’outil Btlejack, et grâce à Wireshark.

Figure 5 : paquet BLE capturé avec BTLEJack et vu avec WireShark

L’objectif était de donner une brève introduction de dix minutes aux aspects pertinents d’un protocole qui est parmi nous et que nous utilisons quotidiennement. Comme je l’ai fait remarquer dans la salle, toutes les personnes assises là, d’une manière ou d’une autre, utilisent cette technologie au quotidien.
Précédents
Dans la partie des précédents en matière d’incidents de sécurité et de vulnérabilités, différents cas ont été abordés :

  • Exemples sur gadgetbridge.
  • Le piratage de MiBand3 et MiBand4.
  • Cas réels avec des trackers.


Figure 6 : Piratage des pagers avec BLE

  • BluedIoT, qui a déjà été abordé sur le blog par Gérard Fuguet.
  • Le cas de la vulnérabilité CVE-2019-12500 et du verrouillage du moteur d’un scooter.

Figure 7 : Le cas de verrouillage de Xiaomi a fait le tour du monde

Dans le référentiel CamiAlfa, vous pouvez trouver de l’ingénierie inverse à propos de la trottinette Xiaomi. Nous sommes tombés sur des choses curieuses, comme on peut voir un  » ne sait pas  » sur certaines actions qui ont été inversées.

Figure 8 : Un  » ne sait pas  » sur l’inversion du scooter Xiaomi

  • Finalement, Sweyntooth a été abordé. Il s’agit d’une famille de 12 vulnérabilités, qui se trouvent dans l’implémentation de BLE dans le SDK. Il y a un certain nombre de vendeurs affectés tels que : Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics et Telink Semiconductor.

Attaques sur le BLE
Dans la section d’évaluation de la sécurité, une série d’attaques ont été montrées, qui ont été discutées et expliquées :

    • Sniffing : Comme une technique pour capturer ce qui circule dans le support de partage, dans ce cas, l’air.
    • Replay : La technique du replay a été expliquée à l’aide d’une image provenant de gattack.io, qui montre clairement ce qu’est un replay. Il a été souligné que la voiture n’est pas le meilleur exemple pour le BLE, mais un bon exemple de l’action de relecture.

    Figure 9 : Attaques de relecture BLE pour ouvrir des voitures

      • Hijacking : C’est le détournement d’une connexion existante. Il utilise l’adresse d’accès et le délai d’attente pour détourner la connexion. Dans l’image suivante, vous pouvez voir le schéma de l’attaque :

      Figure 10 : Schéma d’une attaque par détournement BLE

      Dans la vidéo suivante, vous pouvez voir un détournement avec Btlejack. L’attaque répond au schéma ci-dessus et peut détourner la connexion grâce à la connaissance de l’adresse d’accès.

      Figure 11 : PoC de détournement de sessions BLE
      • Brouillage : Le concept de brouillage couvre l’interférence de signaux ou la génération de bruit avec l’objectif que le signal original n’atteigne pas le récepteur. Cela ne se produit pas avec l’application btlejack, qui utilise plutôt un schéma de détournement, sans détourner la connexion, mais cela entraîne la perte de la communication.
      • MITM : Dans l’image de gattack.io, nous pouvons voir un exemple clair et simple d’un MITM. La description d’un MITM n’est plus nécessaire aujourd’hui. Le schéma est simple : découverte de l’appareil victime. Se connecter à l’appareil victime pour qu’il ne soit plus annoncé. Annoncez le même appareil et redirigez les données lorsque vous avez une nouvelle connexion.

      Figure 12 : Exemple d’attaque MITM BLE provenant de gattack.io

      • Attaque sur le chiffrement : les communications sont parfois chiffrées. Nous montrons comment réaliser une attaque sur une capture chiffrée lorsque certaines conditions sont données. L’outil utilisé était CrackLE.
      Figure 13 Démonstration de Crackle pour décrypter le trafic BLE crypté

      Nous voulons remercier toutes les personnes qui sont venues voir la conférence le samedi à 10h00 et qui ont rempli la salle. Nous ne pouvons que dire : « Merci ».
      Auteur : Pablo González Pérez (@pablogonzalezpe), auteur des livres « Metasploit for Pentesters », « Hacking with Metasploit : Advanced Pentesting » « Hacking Windows », « Ethical Hacking », « Got Root », « Pentesting with Powershell » et « Empire : Advanced Hacking in the Red Team », Microsoft MVP in Security et chercheur en sécurité dans l’équipe « Crazy Ideas » de l’unité Telefonica CDCO. Pour toute question, vous pouvez utiliser la boîte aux lettres publique pour contacter Pablo González

      Figure 14 : Contacter Pablo González

      .

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *