Пишем приложение для вибратора с Алиэкспресс, или как реверс-инжинирить Bluetooth

Для чего нам Bluetooth?​

Finch Technologies & Co.

План

Основы Bluetooth
Способы реверс-инжиниринга Bluetooth
Реверс-инжиниринг вибратора с Алиэкспресс

Bluetooth-Device

BLE Connect

BLE Security

Pairing – процесс создания парами BLE-устройств секретных ключей для последующего шифрования

BluetoothDevice & BluetoothGatt

GATT – профиль Bluetooth, определяющий способ взаимодействия двух устройств и

GATT Characteristic

BluetoothGatt

BluetoothGatt read

BluetoothGatt write

BluetoothGatt notification

Пример

1. Подключение

2. Поиск всех сервисов устройства

3. Список сервисов

4. Отправка команды

5. Результат отправки

О BLE подробнее

http://appsconf.ru/moscow/2019/abstracts/5051
https://youtu.be/hpHFo_Lyk0M

BLE пакет

Реверс-инжиниринг BLE-пакета

Анализ BLE-профиля
Реверс-инжиниринг приложения
Анализ трафика

nRF Connect

Сканирование
Подключение
Сервисы
Характеристики
Чтение и запись

nRF Connect

Android

https://play.google.com/store/apps/details?id=no.nordicsemi.android.mcp

iOS

https://apps.apple.com/ru/app/nrf-connect/id1054362403

Wireshark

Просмотр BLE-логов
Адреса
Запись/Чтение
Сервисы
Характеристики

Wireshark

Windows & macOS
https://www.wireshark.org/download.html

Анализ BLE-профиля

Список всех сервисов и характеристик
Свойства характеристик
Чтение/Запись сырых пакетов

Подключение

Список сервисов

Список характеристик

Свойства характеристик

Запись данных

Чтение данных

Резюме

Первичная информация о девайсе
Формат данных неизвестен

Реверс-инжиниринг приложения

Декомпиляция бинарников
Найти сервисы и характеристики
Формат данных

Получение apk

adb shell pm path package.name
package:/data/app/package.name/app.apk
adb pull /data/app/package.name/app.apk

Декомпиляция бинарников

Анализ исходников

Поиск нужного сервиса

UART_UUID = UUID.fromString("6E400001-B5A3-F393-E0A9-E50E24DCCA9E");
TX_UUID = UUID.fromString("6E400002-B5A3-F393-E0A9-E50E24DCCA9E");
RX_UUID = UUID.fromString("6E400003-B5A3-F393-E0A9-E50E24DCCA9E");

Поиск чтения данных

class Clazz extends BluetoothGattCallback { @Override public void onCharacteristicRead(…) {

Поиск формата данных

onCharacteristicRead(… Characteristic c)
{
receivedData(c.getValue());
}

Поиск формата данных

private static void receivedData(byte[] dataBytes)
{
  byte[] temp = { dataBytes[2], dataBytes[3] };
  boolean[] bits = byteArray2BitArray(temp);
Inputs.buttonA.key = bits[0];
  ...
  Inputs.forward2.key = bits[13];
  ...

Поиск записи данных

service = gatt.getService(s);
char = service.getCharacteristic(c);
char.setValue(value);
gatt.writeCharacteristic(char);

Резюме

Не все приложения можно реверс-инжинирить

Анализ трафика приложения

Протокол работы с девайсом
Сервисы и характеристики
Данные чтения/записи
Адреса, пароли, явки

Включения логов трафика

Получаем трафик приложения

Делаем некие действия в приложение
adb pull /sdcard/btsnoop_hci.log

Анализ трафика

Фильтрация по адресу

Анализ трафика

Фильтрация по адресу
Лог записи/чтения
Сервис
Характеристика
Значения

Проверка

Резюме

Информация о работе приложения без его реверс-инжиниринга
Неявный формат данных

Реверс вибратора

Сервисы девайса

Брутфорс?

Нужно найти сервис для отправки команд
Отправлять туда байты
Фиксировать результат

Характеристика для команд

Находим характеристики для записи
Properties: Write

Приложение для брутфорса

char = service.getCharacteristic(uuid);
while (true) {
    char.setValue(rand_byte_array);
    gatt.writeCharacteristic(char);
    // Смотрим на результат
}

Брутфорс

Брутфорс?

Брутфорс возможен для несложного пакета команд
Но занимает много времени и внимания

Реверс-инжиниринг apk

adb shell pm path cn.yingtaoapp.android
package:/data/app/cn.yingtaoapp.android/base.apk
adb pull /data/app/cn.yingtaoapp.android/base.apk
Декомпиляция apk

Поиск нужного сервиса

Поиск нужного сервиса

Характеристики с “Write”

Поиск отправки данных

    public void doClick(int value) {
             case 0:
                this.mToy.BLE.write(value * 128);
                return;
            case 1:
                this.mToy.BLE.write(value * 64);
                return;
            default:
                return;
    }

Проверим

Стоит ли доверять?

Анализ приложения

Включим логи
Отправим команду
Посмотрим логи

Анализ трафика

Проверим

Что за формат?

Получим команды

0153fd00
3200
…

Поиск в приложении

Резюме

Формат команд
+
UUID сервисов и характеристик
=
Свое приложение

BLE Security?

и Да и Нет
Шифрование передачи данных между устройствами

Немного методов защиты

Спрятать парс данных в C++, etc
Аутентификация устройства и приложения
Дополнительное

Заключение

Bluetooth просто – протокол передачи данных
Не стоит забывать о безопасности!

Спасибо за внимание

Контакты:
telegram @neargye