当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0147164

漏洞标题:智能设备小爱爱智能跳蛋可被远程入侵控制

相关厂商:aifuns.com

漏洞作者: 数据流

提交时间:2015-10-16 14:12

修复时间:2016-01-14 15:34

公开时间:2016-01-14 15:34

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-16: 细节已通知厂商并且等待厂商处理中
2015-10-16: 厂商已经确认,细节仅向厂商公开
2015-10-19: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航
2015-12-10: 细节向核心白帽子及相关领域专家公开
2015-12-20: 细节向普通白帽子公开
2015-12-30: 细节向实习白帽子公开
2016-01-14: 细节向公众公开

简要描述:

貌似在乌云上很少关于智能设备尤其是关于蓝牙,先来一发,希望更多人关注这个领域
小爱爱,号称全球首款智能跳蛋的情趣玩具.(在公司 在地铁 在邻居家 妹子的包包里突然震动起来了?路上的妹子突然弯着腰摸着肚子,表情狰狞?)

详细说明:

小爱爱智能跳蛋的启动方式 APP-蓝牙-跳蛋
也就是说app通过蓝牙发送指令给跳蛋,跳蛋就会启动.
而智能设备一般都用Bluetooth4.0的BLE(蓝牙低能耗技术),先简单说说蓝牙协议上GATT层的基本架构

1.png


Profile下有多个Services,而services则是多个Characteristic的集合.每一个services和Characteristic都有一个UUID.
而蓝牙的配对绑定则由Security Manage Protocol层复杂,蓝牙提供以下几种种认证方式
just works(无需鉴权)
PIN(六位pin码)
OOB(nfc外带通道)
然后再来看看这个智能跳蛋

2.jpg


5.jpg


可直接用连接配对,无需passcode,用的应该就是justworks模式了

6.jpg


也就是说任何人都可以连接它了.剩下就是找到它发送的数据
先反编译控制的andriod App

3.jpg


在用app控制跳蛋启动时,发现app上的logcat信息
因为在Lcom/zkj/guimi/a/a中用Log输出了

8.jpg

而writeCharacteristic是andriod中ble写数据的函数,value就是跳蛋接收的启动数据
然后要找数据写在哪个uuid上的Characteristic了,看了下app上的源码就找到了

10.jpg


Services uuid 0000ffe5
Characteristic 0000ffe9


启动:hex(8,17,6,15,1,1,31,79) 也就是

0x8
0x11
0x6
0xf
0x1
0x1
0x1f
0x4f


停止:hex(8,17,6,15,1,1,0,48)
小爱爱的智能玩具的蓝牙名都是含有AIAI

11.jpg


现在有了这些信息利用笔记本就能远程控制了.. 利用笔记本也可以进行批量控制

漏洞证明:


当然 如果你只是单纯想糊弄妹子的话可以直接使用小爱爱的app去控制.但觉得没多大意思 本文仅提供一个思路 : )

修复方案:

加强设备的蓝牙认证方式

版权声明:转载请注明来源 数据流@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2015-10-16 15:33

厂商回复:

为何我们的产品在黑客白帽圈这么流行呀,我们感觉受宠若惊。
感谢您对我们的意见,我们后续也会采取一些防范措施。
但是本漏洞并不太会对用户造成不好的影响(1、蓝牙必须是在附近。2、必须妹纸的跳蛋开着并且没有连上),请大家不必太担心。

最新状态:

暂无