La arquitectura bluetooth se compone de dos protocolos principales L2CAP y sobre este el RFCOMM. Dichos protocolos usan puertos lógicos, tal como lo hace el protocolo TCP/IP. El L2CAP usa puertos impares partiendo del 1 hasta el 65535 y el RFCOMM del 1 al 30.
Cada dispositivo bluetooth posee caracteristicas unívocas que permiten su identificación, entre estas un ID de dispositivo Bluetooth. Dicho ID nos permite conocer, entre otras cosas, al fabricante del dispositivo. Este identificador contiene seis bytes organizados de forma: FF:FF:FF:XX:XX:XX donde los tres primeros bytes representan al Fabricante y los otros tres no nos proporcionan información relevante. Tambien poseen lo que se denominan “Clases” que son la combinación entre el tipo de dispositivo y los servicios que proporciona el mismo.
La clases tienen una longitud de 24 bits y se dividen en tres partes:
-
Service Class ( 11 Bits )
-
Mayor Class ( 5 Bits )
-
Minor Class ( 6 Bits )
Un ejemplo de cómo se presentaría una clase de un teléfono seria similar a esto:
0x500204, esto para indicar Service Class Object Transfer and Telephony, Mayor Class Phone y Minor Class Cellular.
Una impresora se presentaría como:
0x140680 esto para indicar Rendering and Object Transfer, Imaging, Printer, etc
Para conocer más información de nuestros dispositivos Bluetooth podemos hacer uso del Protocolo SDP o Service Discovery Protocol, el cual al ser consultado nos mostrará un resumen de los servicios del dispositivo Bluetooth e información de cómo acceder a ellos.
Técnicas y Ataques:
Muchas son las vulnerabilidades que se han encontrado en los dispositivos bluetooth actuales, dando pie al desarrollo de nuevas técnicas de hacking las cuales mostramos a continuación:
-
Blueprinting: Esta técnica consiste en obtener la mayor cantidad de información de un dispostivos bluetooh.
- BT Audit: Consiste en un scanning de puertos para averiguar cuáles estan abiertos y algunas posibles aplicaciones vulnerables.
- Snarfing: Esta técnica consiste en robar información de un dispostivos bluetooh.
-
BLUESMACK: Es una técnica que permite hacer un Ataque de Denegación de Servicio a un dispositivo Bluetooth.
-
Car Whispered: Es una técnica que permite espiar comunicaciones de voz a través de un dispositivo bluetooth para vehículos.
Ataques Comunes:
-
BlueLine: El objetivo del ataque blueline es la conexión al perfil de pasarela de Voz ( Voice Gateway Profile) con el fin de ejecutar comandos AT GSM en un terminal móvil .
-
HelloMoto: Explota una implementación incorrecta de la gestion de la lista de dispositivos de confianza en teléfonos móviles Motorola.
Descripción
Ataque BlueLine: Fue descubierto en Marzo de 2006 por Kevin Finisterre, el cual publicó en su sitio web DigitalMunition, un advisory en el cual describía una nueva técnica de ataque por Bluetooth a teléfonos móviles Motorola.
Dicha técnica tenía como objetivo la conexión al perfil de pasarela de Voz ( Voice Gateway Profile) con el fin de ejecutar comandos AT GSM en un terminal móvil, en este caso, Motorola. El fallo se basaba en que el perfil de Pasarela de Voz, accesible a través del canal RFCOMM 3 es un perfil que requiere autorización, más no autenticación.
Las primeras PoC de este ataque se desarrollaron sobre un Motorola PEBL U6, Kevin mantuvo comunicación con Motorola los cuales aseguraron que harian todos los esfuerzos por resolver la problemática y nueve meses despues del descubrimiento se seguían comercializando teléfonos móviles con esta vulnerabilidad.
Con este ataque se podian realizar las siguientes acciones:
-
Obtener información básica sobre el teléfono.
-
Configurar el teléfono: Establecer desvios de llamadas…
-
Realizar llamadas de voz y de datos
-
Acceso completo a la Agenda de contactos: Lectura y escritura,…
-
Acceso a la Agenda de llamadas perdidas, recibidas y realizadas.
En algunas pruebas con ciertos modelos la funcionalidad de Bluetooth quedaba anulada tras el ataque Blueline y solo se podia reactivar con el reinicio del dispositivo
Este ataque se sirve de una variación del ataque HelloMoto para evitar mecanismos de seguridad que deniegan la conexión proveniente de cualquier dispositivo desconocido. Para ello se provocaba una falsificación o spoofing de la interfaz sustituyendo el mensaje original en la ventana de notificación de conexión entrante, haciendo uso del carácter «0x0d», para poder realizar saltos de línea en el mensaje original logrando que el usuario atacado “autorizara” la conexión al teléfono móvil atacado.
Ataque HelloMoto: Descubierto en el 2004 por el grupo Trifinite este ataque explota una implementación incorrecta de la gestion de la lista de dispositivos de confianza en teléfonos móviles Motorola. Las primeras PoC (Proof of Concept ) se realizaron en teléfonos móviles Motorola V80, V500 y V600.
El ataque se realiza enviando una tarjeta de visita VCARD a través del perfil de Carga de Objetos (OBEX Object Push), con esto, de forma automática y sin necesidad de interacción por parte del usuario del teléfono móvil objetivo, el dispositivo atacante es añadido a la lista de dispositivos de confianza del terminal, aunque el proceso de envio de la VCARD haya sido interrumpido antes de culminar.
Con el equipo atacante incluido en la lista de dispositivos de confianza del teléfono objetivo, el atacante puede acceder a los perfiles que requieran autorización, pero no autenticación, como es el caso del perfil de Pasarela de Voz.
Herramientas:
Para ejecutar cada una de las técnicas o ataques mencionados con anterioridad disponemos de unas cuantas herramientas que nos harán el trabajo mucho más fácil. Entre estas tenemos:
-
RedFang para Dispositivos PDA, y versiones PC Linux
-
Bloover (proviene de Hoover como las aspiradoras) creado por Trifinite para dispositivos Móviles. Funciona muy bien en NOKIA 6300, 6165, 5100, 5200, Sony Erickson en casi todos los modelos y cualquier móvil equipado con J2ME MIDP 2.0 VM o superior con API JSR-82 instalada.
-
BT_Info para Dispositivos móviles
-
Bluetooth Hacker para disposivos móviles.
-
BT Audit para Dispositivos móviles
-
Utilidades Linux Bluez permiten hacer ataques DoS desde un Pc Linux
-
BTClass para PalmOS
-
BT Explorer para dispositivos móviles.
-
BlueZscanner para PC linux.
Referencias:
El Blog de Gospel http://gospel.endorasoft.es , artículo Hacking Bluetooth en teléfonos móviles Motorola de última generación. Autor: Alberto Moreno Tablado.
Revista Hackers Magazine N° 15 , pag 30 Artículo: Bluetooth Attack
RedFang http://www.blackops.cn/tools/redfang.2.5.tar.gz
http://trifinite.org/Downloads/bp_v01-3.zip
Bloover http://trifinite.org/Downloads/Bloover.jar
http://trifinite.org/Downloads/Bloover_theme.SIS (Tema para Smartphone Series 60)
BT Audit http://www.betaversion.net/btdsd/download/
BT Class (PalmOS) http://www.mulliner.org/palm/btclass.zip
Ing. Jonathan T Maderos
Jonathan_maderos@hotmail.com
Twitter: @Jtmaderos