一、涉及的基本原理
蓝牙信道
有两种通信信道:广播信道和数据信道(advertising channels and data channels),对应的通道如下图,其中广播信道只使用37,38,39这三个通道。数据信道共包含37个信道。
广播通道作用
设备发现
连接建立
传输广播
数据通道作用
自适应跳频以及设备间数据传输
自适应跳频
在数据传输时,设备间会使用跳频算法在数据通道间跳频。常见的CC2540不具备捕获数据通道中的数据的能力,需使用昂贵的专业蓝牙设备(数万元)或Ubertooth进行捕获(几百元,但是不稳定)。
蓝牙地址(bdaddr)
蓝牙地址也有多种类型,有设备使用固定的蓝牙地址,也有设备使用随机的蓝牙地址。类型如下,具体的定义参考末尾的参考连接
BLE安全模式
蓝牙有两种安全模式和4个安全等级,Level 1 ~ Level 4对应的安全强度由若到强,分别为:
Security Level 1 supports communication without security at all, and applies to any Bluetooth communication, but think of it as applying to unpaired communications.
Security Level 2 supports AES-CMAC encryption (aka AES-128 via RFC 4493, which is FIPS-compliant) during communications when the devices are unpaired.
Security Level 3 supports encryption and requires pairing.
Security Level 4 supports all the bells and whistles, and instead of AES-CMAC for encryption, ECDHE (aka Elliptic Curve Diffie-Hellman aka P-256, which is also FIPS-compliant) is used instead.
二、准备抓包所需的软件和硬件
所需硬件
Ubertooth 一个 (配合ubertooth-btle使用)
CSR模组 一个 (配合bluetoothctl使用,也可使用树莓派等设备替代)
Linux PC 一台
ESP32模组 一个 (作为ble server使用)
ESP32模组的长相
所需软件
ubertooth-btle (抓取数据信道数据)
bluetoothctl (监听广播数据)
esp-idf (烧录ble server)
crackle (分析加密情况) wireshark
LightBlue (手机APP)
三、动手做
烧录BLE Server
首先从乐鑫GitHub获取esp-idf工具链和demo,具体的esp-idf下载和配置的方法可按官方教程操作。 当配置好esp-idf后,连接ESP32模组和PC。
烧录不安全的demo:gatts_demo
该demo位于该路径下 esp-idf/examples/bluetooth/bluedroid/ble/gatt_server
烧录方法
cd ~/esp-idf/examples/bluetooth/bluedroid/ble/gatt_server make menuconfig make flash //烧录时可能需按住ESP32模组上的boot键
扫描附近的BLE设备
将CSR模组插入Linux PC,也可直接使用树莓派。安装并启动bluetoothctl(可能需要sudo权限)。执行如下命令。
sudo bluetoothctl [bluetooth]# scan on //启动扫描,等待一会 [bluetooth]# scan off //关闭扫描 [bluetooth]# devices //查看附近的设备
找到ESP_GATTS_DEMO对应的地址并记住。
开始捕获数据包
将Ubertooth插入Linux PC,安装ubertooth-btle并刷入最新的固件,操作流程参考如下链接: https://github.com/greatscottgadgets/ubertooth/wiki/Build-Guide
https://github.com/greatscottgadgets/ubertooth/wiki/Firmware
准备完成后,输入如下命令进行捕获
touch /tmp/pipe ubertooth-btle -t aa:bb:cc:dd:ee:ff -f -c /tmp/pipe //aa:bb:cc:dd:ee:ff为之前获取到的ESP_GATTS_DEMO对应的地址
启动wireshark 并获取/tmp/pipe中的数据
手机端使用LightBlue连接设备,由于蓝牙跳频,有时Ubertooth会抓不到包,或者卡住,可以反复在LightBlue中“返回-进入”来抓取ble通讯包。
查看明文数据
由于我们使用的是未加密的demo,可直接在wireshark中看到明文传输的数据,如下图。
可以在图片下方看到deedbeef数据值,该数据值由gatts_demo.c中如下代码产生。
case ESP_GATTS_READ_EVT: { ESP_LOGI(GATTS_TAG, "GATT_READ_EVT, conn_id %d, trans_id %d, handle %d\n", param->read.conn_id, param->read.trans_id, param->read.handle); esp_gatt_rsp_t rsp; memset(&rsp, 0, sizeof(esp_gatt_rsp_t)); rsp.attr_value.handle = param->read.handle; rsp.attr_value.len = 4; rsp.attr_value.value[0] = 0xde; rsp.attr_value.value[1] = 0xed; rsp.attr_value.value[2] = 0xbe; rsp.attr_value.value[3] = 0xef; esp_ble_gatts_send_response(gatts_if, param->read.conn_id, param->read.trans_id, ESP_GATT_OK, &rsp); break; }
再来分析下安全的BLE连接
在esp-idf目录下,找到如下demo,按照之前烧录不安全demo的方式烧录该demo。
examples/bluetooth/bluedroid/ble/gatt_security_server
烧录完成后,使用Ubertooth捕获手机与ESP32模组间的通讯。捕获到的数据片段如下。
可以看到Random、DHKey、LL_ENC_REQ等信息,说明该连接使用到密钥交换,接下来我们可以借助另一个工具判断这两个连接是否安全。
破解工具上场--crackle
工具下载地址 https://github.com/mikeryan/crackle
该工具可以用来破解BLE通讯中的TK,或者配合LTK对BLE通讯进行解密。
我们分别使用该工具读取两次通讯的PCAP文件。
读取不安全的BLE通讯
可以看到该通讯PCAP中不包含加密通讯。
读取安全的BLE通讯
能看到crackle提示找到了加密的数据包,但是由于没有LTK,无法解密数据包。在让我们回到demo的代码中,那么可以看到在example_ble_sec_gatts_demo.c中有如下代码片段。
case ESP_GATTS_CONNECT_EVT: ESP_LOGI(GATTS_TABLE_TAG, "ESP_GATTS_CONNECT_EVT"); /* start security connect with peer device when receive the connect event sent by the master */ esp_ble_set_encryption(param->connect.remote_bda, ESP_BLE_SEC_ENCRYPT_MITM); break;
代码片段中用到了ESP_BLE_SEC_ENCRYPT_MITM来指明连接的安全等级。除了该安全选项,还有另外三个,分别是:
ESP_BLE_SEC_NONE
ESP_BLE_SEC_ENCRYPT
ESP_BLE_SEC_ENCRYPT_NO_MITM
ESP_BLE_SEC_ENCRYPT_MITM
四、总结
蓝牙提供了完善的安全机制和抗干扰机制
由于自适应跳频机制的存在,捕获数据通道中的数据较为困难
不是所有的设备都会选择安全的BLE蓝牙配对和连接模式,可能存在数据明文传输的情况
五、参考链接
https://microchipdeveloper.com/wireless:ble-link-layer-channels
https://www.rfwireless-world.com/Terminology/BLE-Advertising-channels-and-Data-channels-list.html
https://www.novelbits.io/bluetooth-address-privacy-ble/https://duo.com/decipher/understanding-bluetooth-security