06.10.2017

Поиск и несанкционированная эксплуатация умных взрослых игрушек

image

На конференции SteelCon  доклад был представлен в обновленном виде и плюс рассмотрены различные виды умных взрослых игрушек, использующих Bluetooth.  

Автор: pentestpartners.com

Надеюсь, уже ни для кого не секрет, что Bluetooth-устройства с пониженным потреблением энергии (BLE), младшие братья традиционных Bluetooth-девайсов, не настолько продвинуты, когда речь заходит о безопасности. Экономия на заряде батареи и сложности устройства компенсируется легкостью обнаружения и эксплуатации. Зачастую при использовании технологии BLE не предусмотрено вообще каких-либо мер безопасности, но даже в случае наличия защиты методы реализации оставляют желать лучшего.

В этом году был короткий демо-пример с объяснением на встрече в формате BSides в Манчестере. Существует несколько хороших руководств, посвященных взлому BLE-устройств, однако последствия компрометирования, как правило, не настолько значимы. Одна из категорий подобных девайсов со слабой защитой, которая попала в  поле зрения – умные секс-игрушки. Мы были в шоке, насколько просто перехватить управление веб-камерой в одном из подобных устройств, использующего технологию Wi-Fi. На конференции SteelCon наш доклад был представлен в обновленном виде и плюс рассмотрены различные виды умных взрослых игрушек, использующих Bluetooth.  

Одна из проблем заключается в том, что эти устройства работают вне диапазона радиочастот, что значительно осложняет поиск в отсутствии эквивалента http://wigle.net для Bluetooth. И мы отправились на охоту… и нашли некоторые девайсы в состоянии эксплуатации… внутри людей.

Вскоре после того как я начал работать в компании PenTest Partners, меня заинтересовал проект моих коллег, связанный с исследованием камеры вибратора. Далее, довольно громко, я объявил, что у меня в наличии есть умная анальная пробка… для исследования.

Коллеги посоветовали мне исследовать это устройство в рамках следующего проекта.

Встречаем, Lovense Hush:

 
Рисунок 1: Анальная пробка с возможностью управления через Bluetooth

Взрослые игрушки представляют собой прекрасную тестовую лабораторию для исследования IoT-устройств (Internet of Things; Интернет вещей), поскольку используют технологию BLE, недорого стоят, доступны и совместимы с сопутствующим набором приложений для всестороннего тестирования.

Более пристальный взгляд на Hush

При помощи вашего любимого аппаратного снифера (мы используем Bluefruit, но Ubertooth тоже подойдет) вы можете визуализировать BLE-пакеты в Wireshark.

В нашем случае видно, что приложение инициировало вибрацию устройства, когда по адресу 0x000e записалось значение «Vibrate:5»:


Рисунок 2: Процесс записи значения Vibrate:5

Мы можем повторно запускать команды напрямую из Kali, и приложение для смартфона не потребуется.

Подключаем Bluetooth-адаптер (стоит порядка 5 фунтов):

# hciconfig up

Сканируем на предмет присутствия BLE-устройств и получаем MAC адреса:

# hciconfig lescan 

Запускаем gattool в интерактивном режиме:

# gattool -I
 > connect <MAC of the Hush>
 > primary
 > char-write-cmd <characteristics> <hex>

После запуска команды primary должны появиться те же параметры обработчика, что мы видели ранее.

<characteristics> - адрес, указанный выше (0x000e), и <hex> - шестнадцатеричное значение Vibrate,10 (или той скорости, которую вы предпочитаете): 766962726174652C3130.

Кроме того, BLE-устройства имеют специальный идентификатор, который можно использовать для поиска. Нечто вроде уникального отпечатка. В случае с HUSH используется идентификатор LVS-Z001.


Рисунок 3: Уникальный идентификатор

Обратите внимание, что в подобных устройствах либо не используется пин /пароль вовсе, или используется стандартный пин (0000 / 1234 и т. д.). Эта проблема встречается не только в Hush, но в других моделях:

  • Kiiroo Fleshlight
  • Lelo
  • Lovense Nora and Max

На самом деле, подобная проблема была обнаружена в каждой исследуемой нами взрослой игрушке с поддержкой Bluetooth.

Причина заключается в отсутствии пользовательского интерфейса для ввода классического парного пина (pairing PIN), поскольку на анальной пробке просто негде разместить подобного рода интерфейс.

Единственная защита заключается в том, что BLE-устройство может взаимодействовать с одним смартфоном (или другим девайсом) в единицу времени, однако доступный диапазон ограничен. Если пользователь вышел за пределы диапазона или села батарея, взрослая игрушка становится доступной для подключения без аутентификации.

Но, несомненно, вы ведь не собираетесь искать подобного рода устройства вне дома?


Рисунок 4: Одна из опций взрослой игрушки, связанная с незаметностью работы в публичных местах

Поиск взрослых игрушек

Недавно я был в Берлине и пытался найти Bluetooth-устройства при помощи приложения Lightblue. Каково же было мое удивление, когда в списке я обнаружил имя LVS-Z001:


Рисунок 5: Перечень доступных Bluetooth-устройств

Из найденного можно сделать вывод, что кто-то пытался воспользоваться анальной пробкой в общественном месте.

Мне интересно, когда мы сможем увидеть на сайте http://wigle.net поддержку для BLE и ZigGee? Wigle (android-клиент) уже кое-как поддерживает поиск Bluetooth-устройств, а сайт пока нет. Мне кажется, чтобы добавить этот функционал не нужно слишком много времени.

Хочу отметить, что этот случай относится к пассивной разведке, которая основана на сигналах, отсылаемых устройством. Попытка подсоединения к устройству с последующим перехватом управления без согласия пользователя не то, чем бы я хотел заниматься.

На данный момент ситуация такова, что если злоумышленник подключился к устройству, то, во-первых, мотор игрушки может быть включен на полную мощность, а, во-вторых, нет никакой возможности прекратить эти вибрации. 
Важно отметить, что мы не преследуем цели как-то унизить тех людей, которые пользуются этими устройствами: взрослые игрушки предназначены широкого круга людей, и доступность этих девайсов позволяет повысить качество сексуальной жизни. С другой стороны, мы считаем, что люди должны пользоваться этими устройствами без страха за компрометирование третьей стороной. Высказываясь об этих проблемах, мы надеемся, что производители будут предпринимать дополнительные меры безопасности, поскольку неожиданная вибрация взрослой игрушки может привести к большому замешательству.

Слуховые аппараты

Еще один пример BLE-устройства, носимого на теле и доступного всем и каждому:


Рисунок 6: Техническая информация о слуховом аппарате

На рисунке показана информация о слуховом аппарате моего отца, которое мне однажды удалось обнаружить во время обеда. Это устройство также работает на базе технологии BLE, позволяет прослушивать музыку и управлять настройками (например, если мы находимся в шумном ресторане или в концертном зале). Электронные уши стоят порядка 3500 фунтов и должны быть запрограммированы аудиологом. Кроме того, требуется плата за дополнительные настройки, чтобы злоумышленнику не удалось нанести вреда и лишить человека слуха.

Решение проблемы

Существует несколько способов решения этой проблемы:

Физический переключатель

Взрослые игрушки доступны для подключения в случае отсутствия подключения к другим Bluetooth-устройствам, что не есть правильно. Должна быть дополнительная кнопка, которая переключала бы устройство в режим доступности/недоступности для подключения.

Сила сигнала

Когда устройство находится в состоянии доступности для подключения, Bluetooth-сигнал должен падать до очень низкого уровня, чтобы подключаемый девайс был как можно ближе. Злоумышленник может воспользоваться антенной с высоким усилением, однако в целом риск подключения со стороны снижается значительно.

Уникальный пин

Пропись новой конфигурации на фабрике позволяет задать уникальный пин-код для каждой взрослой игрушки. Это довольно дорогое удовольствие, поскольку нужно включать устройство и загружать прошивку. Наклейка с пином также увеличивает стоимость.

Числовое сравнение

Еще одна мысль – добавление цифровой клавиатуры на анальную пробку, однако, полагаю, что этой идее не суждено сбыться.

Нерешаемые проблемы

BLE-устройства извещают о своем присутствии, в результате чего взрослые игрушки могут быть легко обнаружены при помощи триангуляции. Насколько комфортно вы себя будете ощущать, выходя с подобными устройствами в общественные места, зная, что можете быть обнаружены? Возможно, сей факт не особо волнует некоторых, но многих – очень.

Возможное решение – придумать распространенное имя для BLE-устройство так, чтобы взрослую игрушку нельзя было отличить от Bluetooth-принтера. Остаются проблемы с MAC-адресами, но здесь уже намного сложнее сопоставить адрес с конкретным устройством.

Некоторые энтузиасты уже создали карты небольших площадей при помощи дронов, где отражены схемы устройств различных радиочастотных протоколов. И здесь сразу возникает вопрос о том, через какое время начнут летать дроны, которые ищут BLE-устройства? Уже существуют карты, построенные на базе полетов дронов, с нанесенными девайсами, использующими протокол Zigbee, в некоторых частях Остина в Техасе.

Спецификация для Bluetooth 4.0 позволяет только одно подключение в единицу времени, что дает некоторый уровень защиты. Если ваш телефон подключен к взрослой игрушке, сложно нарушить это соединение и подключить другое устройство. Хотя, вероятно, такая возможность есть.  

В Bluetooth 4.2 появились некоторые изменения, касаемо этого вопроса:


Рисунок 7: Выдержка из спецификации на протокол Bluetooth 4.2

Это нововведение дает возможность вредоносному мастер-устройству параллельно подключиться к легитимному мастер-устройству. Сей факт позволяет принудительное подключение любого BLE-устройства, у которого нет фиксированной пары или привязки.

Дальнейшие исследование

Далее я планирую полное исследование анальной пробки, включая прошивку. Здесь потребуется более тонкая и ювелирная работа, однако у меня уже есть изображение печатной платы с сайта www.fcc.gov.
Вот как выглядит умная анальная пробка изнутри:



Рисунок 8: Внутреннее устройство умной игрушки

В следующий раз, если вам кто-то будет рассказывать, что перехват информации или управление BLE-устройствами возможно лишь гипотетически, покажите ему эту статью.


comments powered by Disqus