漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0147164
漏洞标题:智能设备小爱爱智能跳蛋可被远程入侵控制
相关厂商:aifuns.com
漏洞作者: 数据流
提交时间:2015-10-16 14:12
修复时间:2016-01-14 15:34
公开时间:2016-01-14 15:34
漏洞类型:权限控制绕过
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-10-16: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-19: 细节向第三方安全合作伙伴开放(绿盟科技、唐朝安全巡航)
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开
简要描述:
貌似在乌云上很少关于智能设备尤其是关于蓝牙,先来一发,希望更多人关注这个领域
小爱爱,号称全球首款智能跳蛋的情趣玩具.(在公司 在地铁 在邻居家 妹子的包包里突然震动起来了?路上的妹子突然弯着腰摸着肚子,表情狰狞?)
详细说明:
小爱爱智能跳蛋的启动方式 APP-蓝牙-跳蛋
也就是说app通过蓝牙发送指令给跳蛋,跳蛋就会启动.
而智能设备一般都用Bluetooth4.0的BLE(蓝牙低能耗技术),先简单说说蓝牙协议上GATT层的基本架构
Profile下有多个Services,而services则是多个Characteristic的集合.每一个services和Characteristic都有一个UUID.
而蓝牙的配对绑定则由Security Manage Protocol层复杂,蓝牙提供以下几种种认证方式
just works(无需鉴权)
PIN(六位pin码)
OOB(nfc外带通道)
然后再来看看这个智能跳蛋
可直接用连接配对,无需passcode,用的应该就是justworks模式了
也就是说任何人都可以连接它了.剩下就是找到它发送的数据
先反编译控制的andriod App
在用app控制跳蛋启动时,发现app上的logcat信息
因为在Lcom/zkj/guimi/a/a中用Log输出了
而writeCharacteristic是andriod中ble写数据的函数,value就是跳蛋接收的启动数据
然后要找数据写在哪个uuid上的Characteristic了,看了下app上的源码就找到了
启动:hex(8,17,6,15,1,1,31,79) 也就是
停止:hex(8,17,6,15,1,1,0,48)
小爱爱的智能玩具的蓝牙名都是含有AIAI
现在有了这些信息利用笔记本就能远程控制了.. 利用笔记本也可以进行批量控制
漏洞证明:
当然 如果你只是单纯想糊弄妹子的话可以直接使用小爱爱的app去控制.但觉得没多大意思 本文仅提供一个思路 : )
修复方案:
加强设备的蓝牙认证方式
版权声明:转载请注明来源 数据流@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2015-10-16 15:33
厂商回复:
为何我们的产品在黑客白帽圈这么流行呀,我们感觉受宠若惊。
感谢您对我们的意见,我们后续也会采取一些防范措施。
但是本漏洞并不太会对用户造成不好的影响(1、蓝牙必须是在附近。2、必须妹纸的跳蛋开着并且没有连上),请大家不必太担心。
最新状态:
暂无