Ataques BlueBug

Iniciado por ANTRAX, Marzo 23, 2012, 09:03:06 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Bueno antes de leer esto tienen que leer el anterior post : No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que explica la vulnerabilidad bluebug, Comenzemos.

Vulnerabilidades y Ataques Bluebug desde PC
1. Introducción.

La principal plataforma de ataque a un teléfono móvil a través de la vulnerabilidad Bluebug no podía ser otra que un PC o Laptop. Tanto si utilizamos Linux o Windows, el ataque trata básicamente de conectarse al puerto serie del teléfono móvil y establecer una sesión de línea de comandos AT con peticiones y respuestas. El servicio de puerto serie del teléfono móvil es fácilmente localizable realizando una proceso de enumeración de servicios Bluetooth disponibles.

2. desde Linux.

El siguiente ataque ha sido llevado a cabo contra Nokia NGage desde la distribución Ubuntu y un adaptador USB Bluetooth. Puede que los resultados del siguiente test no sean los mismos dependiendo de diferentes modelos o versiones de firmware.

  2.1.  Requisitos previos.
Lo primero sería conectar nuestro adaptador Bluetooth USB al PC y activar el Bluetooth de Nokia Ngage en modo no oculto o visible.



  2.2. Obtener los canales de transmisión.

Antes de proceder con el ataque, tenemos que realizar una enumeración y detección de información sobre el dispositivo. Vamos a comprobar qué canales del protocolo RFCOMM usa nuestra Ngage para transmitir datos mediante Bluetooth.

Para ello necesitaremos instalar los siguientes paquetes en nuestro Linux:

    • Bluez-utils
    • Bluez-pin

Una vez instalados estos paquetes, hacemos un escaneo de dispositivos para comprobar que detectamos Nokia NGage. Para ello abrimos un terminal en Linux, nos identificamos como root y tecleamos:

Código: php
zaerik@ubuntu:~ $ hcitool scan


Esto nos devolverá algo parecido a:

Código: php
Scanning ...
        00:60:57:D0:F9:15       Ngage


Lo que quiere decir que ha detectado un dispositivo Bluetooth llamado Ngage y su dirección MAC es 00:60:57:D0:F9:15.

Una vez que conocemos la MAC de Nokia NGage podemos usar la utilidad sdptool para obtener datos sobre el teléfono móvil. La sintaxis de esta utilidad es:

Código: php
sdptool browse <Mac>


Al usar este comando la respuesta nos mostrara algo como esto:

Código: php

zaerik@ubuntu:~ $ sdptool browse 00:60:57:D0:F9:15
Browsing 00:60:57:D0:F9:15 ...
Service Name: Fax
Service RecHandle: 0x10000
Service Class ID List:
  "Fax" (0x1111)
  "Generic Telephony" (0x1204)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 1
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100
Profile Descriptor List:
  "Fax" (0x1111)
    Version: 0x0100

Service Name: Dial-up Networking
Service RecHandle: 0x10001
Service Class ID List:
  "Dialup Networking" (0x1103)
  "Generic Networking" (0x1201)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 1
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100
Profile Descriptor List:
  "Dialup Networking" (0x1103)
    Version: 0x0100

Service Name: Bluetooth Serial Port
Service Description: Bluetooth Serial Port
Service Provider: Symbian Ltd.
Service RecHandle: 0x10004
Service Class ID List:
  "Serial Port" (0x1101)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 3
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100

Service Name: OBEX Object Push
Service RecHandle: 0x10005
Service Class ID List:
  "OBEX Object Push" (0x1105)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 9
  "OBEX" (0x0008)
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100
Profile Descriptor List:
  "OBEX Object Push" (0x1105)
    Version: 0x0100

Service Name: OBEX File Transfer
Service RecHandle: 0x10006
Service Class ID List:
  "OBEX File Transfer" (0x1106)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 10
  "OBEX" (0x0008)
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100
Profile Descriptor List:
  "OBEX File Transfer" (0x1106)
    Version: 0x0100

Service Name: Handsfree Audio Gateway
Service RecHandle: 0x10007
Service Class ID List:
  "" (0x111f)
  "Generic Audio" (0x1203)
Protocol Descriptor List:
  "L2CAP" (0x0100)
  "RFCOMM" (0x0003)
    Channel: 2
Language Base Attr List:
  code_ISO639: 0x656e
  encoding:    0x6a
  base_offset: 0x100
Profile Descriptor List:
  "" (0x111e)
    Version: 0x0100


Lo que quiere decir que Nokia NGage tiene activos los canales 1,2, 3, 9 y 10 de RFCOMM para transmitir datos mediante Bluetooth emulando una conexión serie RS-232.



  2.3. Comandos AT en Nokia NGage.
Como se ha comentado anteriormente, es posible distinguir distintos teléfonos móviles del mercado que permiten la ejecución total del juego de comandos AT o sólo parcialmente. En este caso, Nokia Ngage no acepta Comandos AT de acceso a la memoria de contactos y llamadas y tampoco permite gestionar el servicio SMS.

A fin de poder testear el envío de Comandos AT, será necesario tener instalados los siguientes paquetes:

    • rfcomm
    • cu


  2.4. Enlazar rfcomm1 con la dirección MAC de la Nokia NGage por el canal 1.

Como hemos visto, Nokia NGage tiene activos los canales 1,2, 3, 9 y 10 de RFCOMM. Vamos a probar el ataque a través del canal 1, "Generic Telephony".

Abrimos una terminal como root y ejecutamos el comando:

Código: php

zaerik@ubuntu:~ $ rfcomm bind /dev/rfcomm1 <Mac> 1


2.5. Conectarse a rfcomm1 para poder enviar Comandos AT.

Ahora abrimos otro terminal y ejecutamos el comando:

Código: php
zaerik@ubuntu:~ $ cu -l rfcomm1 -s 9600


En caso de que el PC y Nokia NGage no se encuentren emparejados, será requerido el intercambio de claves. Si los dispositivos ya se encontraban anteriormente emparejados, aparecerá lo siguiente en la consola:



A partir de este momento, ya hemos establecido una sesión de Comandos AT con Nokia NGage y estamos en disposición de enviar Comandos AT y recibir respuestas.

  2.6.  Obtener información básica del teléfono móvil comprometido.

Algunos Comandos AT básicos para la obtención de información en el dispositivo GSM son:

    • ATI - Devuelve la marca del teléfono móvil.
    • AT+CGMM – Devuelve el modelo del teléfono móvil.
    • AT+CGMR – Devuelve la versión del firmware del teléfono móvil.




Estos comandos serán ejecutados de manera silenciosa, sin que el usuario de Nokia NGage reciba ninguna advertencia o aviso en pantalla.


  2.7. Realizar una llamada a cierto número de teléfono.

Hasta aquí todo parece inofensivo, pero ahora veremos como podemos utilizar los Comandos AT para hacer una llamada a través del teléfono móvil comprometido. Todos podemos imaginar las consecuencias que una acción como esta puede llegar a tener, desde espionaje de conversaciones privadas hasta llamadas a números especiales, con el consiguiente gasto del saldo económico.
Para ello se utilizan los siguientes comandos AT:

    • ATD<número> – Este comando hara que la Nokia NGage haga una llamada de datos al número introducido.
    • ATD<número>; – Este comando hara que la Nokia NGage haga una llamada de voz al número introducido.




En la pantalla de Nokia NGage aparecerá el siguiente aviso:


Llamada de datos


Llamada de voz

3. desde Microsoft Windows.

El siguiente ataque ha sido llevado a cabo contra Nokia 6820 desde Microsoft Windows XP SP2 y un adaptador USB Bluetooth. Puede que los resultados del siguiente test no sean los mismos dependiendo de diferentes modelos o versiones de firmware.

  3.1. Requisitos previos.
Lo primero es insertar el dispositivo USB Bluetooth en nuestro equipo e instalarlo para que Windows pueda trabajar con él.
Por parte del teléfono móvil a comprometer, este debe tener Bluetooth activado.
Por último, recomendamos que los dos dispositivos (PC y teléfono) se encuentren previamente emparejados.

  3.2. Detectar el teléfono móvil Bluetooth.

Desde Mis Sitios de Bluetooth, procedemos a buscar dispositivos con la acción Buscar dispositivos a mi alcance.




  3.3. Detectar servicios Bluetooth en el teléfono móvil.


Seleccionamos el objeto Nokia 6820 y ejecutamos la acción Detectar servicios.



3.4. Establecimiento de conexión con el Puerto Serie COM1.

De entre todos los servicios disponibles en el teléfono móvil, seleccionamos el servicio de Puerto Serie COM1 y creamos una conexión.



El teléfono móvil pedirá aceptación de conexión con el dispositivo PC y, en caso positivo, aparecerá el siguiente mensaje en nuestra pantalla.



Este mensaje nos advierte que cualquier aplicación PC puede acceder a la conexión establecida con el teléfono móvil utilizando el Puerto COM4 del PC.




  3.5. Envío de comandos AT al teléfono móvil a través de Hyperterminal.

Ahora que ya sabemos cual es el puerto COM que permite al PC comunicarse con el teléfono móvil, iniciamos la aplicación Hyperterminal y creamos una nueva conexión a través del puerto COM4.



A partir de este momento, ya seremos capaces de enviar comandos AT al teléfono móvil a través de Hyperterminal.



Vulnerabilidades y Ataques Bluebug desde PDA

1. Introducción.

Si por algo se encuentra limitado un ataque Bluetooth es por la distancia entre atacante y receptor del ataque, ya que la mayoría de dispositivos comerciales tienen un radio de acción de 10-100m. La posibilidad de poder migrar una aplicación de ataque Bluebug a una plataforma Mobile amplía en un mayor grado la capacidad del atacante, ya que este puede utilizar una PDA, mucho más discreta a la vista que un PC portatil, para realizar un ataque y pasar desapercibido más fácilmente. La forma de realizar el ataque sigue siendo la misma, básicamente se trata de conectarse al puerto serie del teléfono móvil y establecer una sesión de línea de Comandos AT con peticiones y respuestas. El servicio de puerto serie del teléfono móvil es fácilmente localizable realizando una proceso de enumeración de servicios Bluetooth disponibles.
Citar
Bluehack ha desarrollado una herramienta en eVC++ para Pocket PC ARM con Windows Mobile 2003 que permite lanzar un ataque Bluebug contra teléfonos móviles no protegidos frente a esta vulnerabilidad. De este modo, la aplicación se conecta al puerto serie del teléfono móvil (tanto por canal Infrarrojos o Bluetooth) y es capaz de enviar Comandos AT y recibir respuestas.

2. Descripción del ataque.


El siguiente ataque ha sido llevado a cabo contra Nokia 6230. Puede que los resultados del siguiente test no sean los mismos dependiendo de diferentes modelos o versiones de firmware.

  2.1.  Interfaz de la aplicación.


2.2. Inicializando la comunicación Bluetooth en Pocket PC.



2.3. Abriendo la aplicación.



2.4. Configurando el ataque

Para ello, primero seleccionamos el puerto que utilizaremos para transmitir: IrD o Bluetooth.
Dejamos marcada o desmarcamos la opción de extraer Agenda.
Introducimos en la casilla de texto un comando AT personalizado o bien la dejamos en blanco. En el ejemplo, hacemos la petición del comando AT+CPBS="DC";+CPBR=1, que sirve para extraer el primer contacto almacenado en la lista de últimas llamadas realizadas (Dialled Call List).



2.5. Iniciando el ataque

Al pulsar el botón Enviar , se ejecutará el asistente para conexión Bluetooth.

Primero debemos seleccionar un dispositivo Bluetooth detectado, Nokia 6230 .



Después, debemos seleccionar el puerto del teléfono móvil al que queremos transmitir, en nuestro caso, COM 1 .



La aplicación se conectará con el teléfono móvil y comenzará a enviar los comandos AT.



Como puede apreciarse en la captura, el comando AT  personalizado se envía al teléfono móvil y mientras se espera recibir la respuesta, el estado de la transmisión es WAIT.


  2.6. Recibiendo respuesta de los comandos AT enviados.


Además del comando AT personalizado, la aplicación también enviará por defecto los siguientes comandos AT:

    - AT+CGMI - Devuelve la marca del teléfono móvil comprometido.
    - AT+CGMM - Devuelve el modelo del teléfono móvil.
    - AT+CGSN - Devuelve el IMEI.
    - AT+CSQ - Devuelve el estado de calidad de la señal de cobertura.
    - AT+C BC - Devuelve el estado de carga de la batería.




Si la ejecución de los comandos AT es satisfactoria, se mostrará en pantalla el estado OK. En caso de que alguno de los comandos fallara su ejecución, ya sea porque el comando es inválido o porque la comunicación Bluetooth entre los dos dispositivos se ha visto interrumpida, se mostrará en pantalla el estado FALLO.

  2.7. Extrayendo la agenda de contactos.

En caso de que la opción Extraer Agenda se encuentre marcada, la aplicación pasará a un segundo estado de ejecución en el que el diseño del interfaz se modificará.



A continuación, la aplicación seleccionará el dispositivo de memoria de la tarjeta SIM e irá extrayendo los contactos uno a uno, mostrándolos en pantalla.



Vulnerabilidades y Ataques Bluebug desde J2ME


1. Introducción.

La plataforma atacante más discreta para comprometer la seguridad de un teléfono móvil vulnerable a Bluebug es, sin duda, otro teléfono móvil. Al menos esto es lo que pensó el grupo Trifinite al desarrollar la herramienta Blooover (the Bluetooth Hoover). Blooover se define como una utilidad de auditoría que puede ser utilizada para conocer el estado de vulnerabilidad de un teléfono móvil.

2. Soporte.

Desarrollada en J2ME, la aplicación está diseñada para ser ejecutada en teléfonos móviles equipados con J2ME MIDP 2.0 VM y una implementación del API JSR-82 para la comunicación Bluetooth; a saber, características soportadas en Nokia 6600, Nokia 7610, Sony Ericsson P900, Siemens S65 y otros modelos que podrás encontrar enNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La página oficial del proyecto es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
El link oficial de descarga de la herramienta Blooover es No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

3. Descripción del ataque.

El siguiente ataque ha sido llevado a cabo contra Sony-Ericsson T68i desde Nokia 6600. Puede que los resultados del siguiente test no sean los mismos dependiendo de diferentes modelos o versiones de firmware.

  3.1. Requisitos previos.

Lo primero es instalar la aplicación Blooover en el teléfono móvil atacante.
Por parte del teléfono móvil que recibirá el ataque, este debe tener Bluetooth activado.

  3.2. Iniciar Blooover.

Iniciamos Blooover y veremos la siguiente ventana de bienvenida en la pantalla.



  3.3. Menú de Selección.

Al iniciarse la aplicación, dará paso al Menú de acciones de Blooover.



  3.4. Opciones de Configuración de un ataque con Blooover.

Antes de iniciar un ataque, debemos echar un vistazo a las opciones de configuración del Menú Settings.





Las acciones que Blooover puede llevar a cabo durante un ataque son las siguientes:

+ Snarf Phonebooks - Captura de la agenda de contactos.
+ Snarf SMS - Captura de mensajes SMS.
+ Add Phonebook Entry - Añadir una entrada en la agenda de contactos.
    Por defecto, añade el contacto Honey con número de teléfono +49 223 4899577 a la agenda.
+ Set Call Forward - Establecer el desvío de llamadas al número de teléfono +4913377001, por defecto.
+ Initiate Voice Call - Inicia una llamada de voz con el número de teléfono 08002848283 (German Windows XP Activation Hotline)

3.5. Iniciar el ataque con Blooover.

Para iniciar un ataque con Blooover, seleccionamos el Menú Find BT-Devices en el Menú de Selección. La aplicación comenzará a escanear en busca de dispositivos Bluetooth cercanos a los que poder lanzar el ataque.



En cuanto Blooover localice un teléfono móvil, dará comienzo el ataque.



Como hemos visto, el ataque se compone de varias acciones...



i el ataque finaliza satisfactoriamente, el teléfono móvil comprometido debería estar realizando una llamada de datos al número 08002848283.



3.6. Log del ataque.

Posteriormente al ataque, el atacante podrá comprobar en su teléfono móvil el log con toda la información del desarrollo del ataque realizado.



En caso de que el teléfono móvil atacado no sea vulnerable a Blooover, la aplicación muestra el siguiente mensaje:


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


gracias por la informacion voy a ver si la pongo en practica con otros telefonos celulares, o trato al menos

La leche !! Me acabo de terminar de leerlo y me falta tiempo para probarlo, y ver de que es capaz mi Bluetooth del pc porque me he quedado realmente sorprendido , también se podrían por ejemplo enviarle asi por decir una imagen troyanizada o un qrcode troyanizado y que lo ejecutará o dejarle un backdoor ? He visto pequeñas aplicaciones en androide o el famoso java aplet infectado "Maqueado" para moviles pero esto lo veo mucho más agresivo la verdad, muchas gracias por la info !!