kali Nethunter利用蓝牙耳机中的漏洞和窃听私人对话

视频演示

前言

演示的重点是特定的高端耳机。尽管如此，很明显，其他制造商的头戴式设备也受到相同漏洞的影响，因为该设备只需要支持“JustWorks”配对。

在 2024 年马德里 RootedCon 安全会议上，Tarlogic 展示了 BSAM 及其研究，演示了如何在设备用户不知情的情况下捕获音频并使用它来窃听私人对话。

这种开放和协作的方法包含评估蓝牙通信多个方面安全性的控制措施，并提供了该技术中漏洞的示例，该技术广泛用于移动和低功耗设备。

使用 BSAM 进行漏洞识别

该方法分为七个部分，代表审核期间的各个阶段，并解决蓝牙设备的安全方面。

其中一个部分是设备间发现阶段，在该阶段，设备广播和交换包含有关设备标识和功能的信息的公告消息。

在发现阶段内置的安全控制措施中，检查公开的名称、可发现设备的点以及随机 MAC 地址的使用尤为重要。

在我们的例子中，耳机在蓝牙公告消息中公开了它们的名称，这些消息会立即识别它们。

另一方面，头戴式耳机使用公共静态MAC地址，该地址可以唯一地识别它们并使其制造商易于识别。

结合这些因素，可以很容易地将设备识别为攻击的目标，例如所呈现的攻击目标。它可以搜索其他信息，例如特定型号以及是否有麦克风。

尽管在设备发现阶段发现的问题似乎并不特别相关，但它们有助于指导 BSAM 分析的下一阶段（配对）的审计。

配对是两个蓝牙设备生成共享密钥的过程。此密钥将用于加密链路并验证两台设备。如果没有共享密钥，设备通常不允许连接继续，或者只允许彼此进行有限的交互。

BSAM控件引用到配对阶段，在此过程中检查安全级别，并保护生成的共享密钥。配对的安全级别取决于用户对进程的控制级别。在最高安全级别下，用户必须在所涉及的两台设备上输入 PIN 码，以便只能配对用户明确授权的设备。

为了便于使用，蓝牙实施了一种称为“JustWorks”的不安全配对机制。此机制不需要向用户进行任何验证或通知，并允许任何设备在无人值守的情况下配对并与之交互。

BlueSpy 利用了“JustWorks”机制可以在配对期间使用的事实，这不需要安全配对。结合配对模式下的可发现设备，任何使用BlueSpy的人都可以启动配对，设置共享密钥，连接到头戴式耳机，并开始使用它，就好像它是合法用户一样。在这种情况下，他们可以激活麦克风并窃听对话。

蓝牙配对方法

蓝牙设备有四种配对方法：

• Just Work：这是最简单的蓝牙配对方法。它通常在至少一个设备没有显示器或键盘时使用。在此方法中，无需用户交互即可配对设备。例如，智能手机与耳机配对。
• Passkey Entry：在此方法中，在一台设备上显示数字代码，用户必须在另一台设备上输入此代码。当一台设备具有显示器而另一台设备具有数字键盘时，使用此方法。与Just Work方法相比，它提供了更高级别的安全性。举例来说，您可以将蓝牙键盘与计算机配对。
• Numeric Comparison：此方法专为两个蓝牙设备都可以显示六位数字并允许用户输入“是”或“否”响应的情况而设计。在配对过程中，用户会在每个显示屏上显示一个六位数字，如果数字匹配，则在每个设备上提供“是”响应。此方法提供针对 MITM 攻击的保护。例如，削掉两部智能手机。
• Out of Band (OOB)：在这种方法中，使用外部通信方式（如NFC或QRCode）来交换配对过程中使用的一些信息。OOB 通道应能够抵抗 MITM 攻击。否则，身份验证期间的安全性可能会受到损害。例如，您可以想象将带有 NFC 芯片的蓝牙耳机与智能手机配对。

最不安全的配对方法是 Just Works，例如通过耳机和扬声器实现。这是这种攻击可能的原因之一

那么教程开始

在测试之前， 并确保已通过安装和软件包安装了必要的工具，例如，。您可以在 GitHub 上找到详细信息。bluetoothctlbtmgmtpactlparecordpaplay bluez-utilslibpulse

首先

git clone https://github.com/TarlogicSecurity/BlueSpy.git

其次

对于攻击方案，目标设备需要可发现，这意味着其他设备可见。为了扫描可发现的设备， 

bluetoothctl

如果设备可见，则我们有一个要定位的 MAC 地址。图 1 显示了使用 bluetoothctl 的扫描结果，该扫描结果披露了目标扬声器的 MAC 地址。

问题

如果你附近的设备比较多，或者说是你不知道那个设备可以攻击利用，如图所示

如果您想知道您的蓝牙音频设备是否容易受到攻击，则可以使用 bluetoohtctl 工具初始化扫描。但是，有一种更方便的方法，因为也可以使用在任何未获得 root 权限的 Android 智能手机上运行的 nRF Connect for Mobile 应用程序执行此扫描。如果扫描结果找到并允许连接到您的蓝牙 LE 音频，则设备很可能容易受到攻击。在图 3 中，您可以看到我如何使用该应用程序识别并连接到我的 Beoplay P2 扬声器。

apk下载

如果设备允许这种连接，据我所知，你无法采取任何措施来防止攻击者滥用此漏洞。但是，对于某些设备，当其他设备连接时，会发出视觉或音频通知，例如哔哔声、振动或 LED 灯可能会改变颜色或开始闪烁。无论如何，如果您不使用它，请将其关闭。（通俗的说只要能如上图所示都能攻击）

那么继续

我们可以使用命令以目标的MAC地址作为参数运行BlueSpy：-a

sudo python BlueSpy.py -a <address>

如果该工具有效，那么您很幸运。根据我的经验，它在执行 pactl 命令时出现问题并崩溃，参见图 2。因此，由于在启动BlueSpy脚本时成功启用了所有每个设置，因此我们可以继续手动执行另外三个负责控制和运行音频服务器的命令。

要执行的命令如图 2 所示，如下所示。Set-card-profile是由符号名称（bluez_card）和目标的蓝牙MAC地址标识的指定卡。对于 parecord 和 paplay 命令，输入输入输入和输出设备以连接，后跟 MAC 地址和后缀值 0 或 1。最后一个参数是输出或输入文件。-d

pactl set-card-profile bluez_card.04_FE_A1_40_EB_31 headset-head-unit-msbc
parecord -d bluez_input.04_FE_A1_40_EB_31.0 recording.wav
paplay -d bluez_output.04_FE_A1_40_EB_31.1 recording.wav

问题

出现问题，根据报错输入命令即可

结论

通过利用不安全的 Just Work 蓝牙配对方法，攻击者可以使用麦克风连接到蓝牙耳机或扬声器并窃听对话、停止播放音乐或播放自己的音频文件。

我解释了这些问题如何在野外被滥用，并向您展示了一种如何检测蓝牙音频是否易受攻击的简单方法。

这种攻击并不适用于每个蓝牙音频设备，因为其中一些设备在已连接到其他设备时无法被发现、配对或连接。这意味着如果我们看不到它们，我们就无法控制它们。