- 0
- 关注
- 7652
- 浏览
物联网安全拔“牙”实战——低功耗蓝牙(BLE)初探 疑问?
看完这篇文章 物联网安全拔“牙”实战——低功耗蓝牙(BLE)初探 那个小米手环的那部分
疑问一、向Handle 0x0019 进行的write操作,该Characteristic返回了个Notify,然后手环就可以随意写指令了(如私有协议中的震动、LED颜色变化、开启实时步数监控等)。这个write是随便写一个值就行吗?
疑问二、这个数据与MAC地址最后两位FC进行异或为16byte数据,在转为2byte的hex签名结果 这个数据是指?具体的转换方式是?
疑问三、如何把这个数据发送出去啊?
为什么被折叠?
0 个回复被折叠
7 回答
刚试了下小米手环,Immediate Alert写入0x02会开启女性娱乐模式。—>__—> 
文中您說
"过程省略2万字,最终定位了一个向 Handle 0x0019 进行的write操作,该Characteristic返回了个Notify,然后手环就可以随意写指令了"
想請問該handle您是怎麼找的
实际BLE的设计上是有MITM安全措施的,只不过产品设计时考虑到UI,成本和用户体验等,对于不敏感的信息在安全上面做了一些妥协,所谓防君子不防小人,只是个玩物而已。
咦?知乎上居然有人关注这篇文章,没想到…
我是这篇文章的作者,看了这几个问题表示伤心,因为这几个问题的答案都在这篇文章里,而且就在你复制段落的下面啊亲。
问题一:
肯定不能随便write个值就可以通过,这是简直就是对小米产品的侮辱!而这个问题的答案,就在你复制原文的下一段内容中
问题二:
这个问题的答案紧接着上面那段内容,参见“番外篇:小米手环认证机制分析”这部分。你要更详细的?那就看这段代码,算法就是这个 miband-sdk-android/UserInfo.java at cdb9bd038644ae3fb218a309bd20bf6520a8d035 · pangliang/miband-sdk-android · GitHub (这里不提供可直接利用的POC代码)
问题三:
先看“0x04 伪造BLE通信”这一部分,我是选用了CSR的CSR8510做蓝牙适配器(理解为发射器吧,不一定非得这款芯片),然后你在看“0x05 分析BLE私有数据协议(灯泡、跳蛋、小米手环)”中的YeeLight灯泡那块,用BlueZ蓝牙栈构造数据的地方,这样
CSR8510 -> 硬件
BlueZ -> 软件
软硬结合,就构造并发送出了我构造的BLE信号。
仔细读文章
仔细读文章
仔细读文章
问题二:
这个问题的答案紧接着上面那段内容,参见“番外篇:小米手环认证机制分析”这部分。你要更详细的?那就看这段代码,算法就是这个 miband-sdk-android/UserInfo.java at cdb9bd038644ae3fb218a309bd20bf6520a8d035 · pangliang/miband-sdk-android · GitHub (这里不提供可直接利用的POC代码)
问题三:
先看“0x04 伪造BLE通信”这一部分,我是选用了CSR的CSR8510做蓝牙适配器(理解为发射器吧,不一定非得这款芯片),然后你在看“0x05 分析BLE私有数据协议(灯泡、跳蛋、小米手环)”中的YeeLight灯泡那块,用BlueZ蓝牙栈构造数据的地方,这样
CSR8510 -> 硬件
BlueZ -> 软件
软硬结合,就构造并发送出了我构造的BLE信号。
仔细读文章
仔细读文章
仔细读文章 
