Ataque Bluetooth

ALGO DE INFO, DE LO QUE PUEDEN HACERNOS SI DEJAMOS EL BLUETOOTH ENCENDIDO SIEMPRE:


Se describen, a continuación, 3 vectores de ataque Bluetooth a teléfonos Windows Mobile:

1.- Ejecución de comandos AT: permite realizar llamadas de voz desde el teléfono comprometido
2.- Envío de archivos: permite el envío de archivos maliciosos al teléfono objetivo
3.- Acceso al sistema de archivos del teléfono: permite el robo de imágenes, documentos personales o corporativos, agenda de contactos, emails, etc.



Ejecución de comandos AT

La conexión al perfil de Acceso Telefónico a Redes (Dial-Up Networking) en teléfonos Windows Mobile permite el acceso a la capa de comandos AT. La implementación de comandos AT en estos modelos permite obtener información básica del dispositivo así como proporcionar instrucciones para su ejecución, tales como el establecimiento de llamada de voz a un número de teléfono específico.

Los teléfonos Windows Mobile implementan el juego de comandos AT especificado en la recomendación ITU-T V.250 (V.25ter):

ATI: [Request Identification Information]
- Devuele información específica del fabricante sobre el modem del teléfono
AT+GMM: [Request Model Identification]
- Devuelve el modelo de teléfono: Smartphone, Pocket PC phone, ...
AT+GMI: [Request Manufacturer Identification]
- Devuelve la identificación del fabricante del teléfono: marca y modelo
AT+GMR: [Request Model Revision]
- Devuelve información específica del fabricante sobre la versión del modelo: marca, modelo, procesador, revisión, ...
ATE: [Command Echo]
- Activa / Desactiva el eco de caracteres durante la sesión de comandos AT



Por el contrario, estos modelos no implementan el juego de comandos AT incluído en la especificación GSM 07.07 (información básica del dispositivo, servicios de red del operador, gestión de la agenda de contactos y de llamadas), a excepción del comando de establecimiento de llamada de voz ATD<número>; Tampoco implementan el juego de comandos AT incluído en la especificación GSM 07.05 (gestión de los mensajes SMS).

A continuación se muestran dos capturas de ejecución de comandos AT en los Smartphones QTEK 8310 y SAMSUNG i320







Envío de archivos

Tanto el perfil de Carga de Objetos (OBEX Object Push) como el perfil de Transferencia de Archivos (OBEX File Transfer) permiten el envío de archivos a los teléfonos Windows Mobile que implementan estos perfiles Bluetooth. Por lo general, el perfil de Carga de Objetos no requiere autenticación, pero sí que solicita autorización al usuario del teléfono para recibir el archivo. Por otro lado, el perfil de Transferencia de Archivos requiere autenticación pero no solicita autorización a aquellos dispositivos autenticados que desean enviar archivos al teléfono móvil.

Por defecto, la carpeta raiz del servidor OBEX es \My Documents y todos los archivos enviados serán depositados en esta carpeta.

Podemos enviar archivos a teléfonos Windows Mobile a través del perfil de Carga de Objetos (OBEX Object Push) utilizando cualquiera de las siguientes herramientas:

Citar

# obexftp -b BD_ADDR -B canal_perfil_OBEX_Object_Push -U -p archivo

Citar

# obex_push canal_perfil_OBEX_Object_Push BD_ADDR archivo

Citar

# ussp-push /dev/rfcomm0 archivo_local archivo_remoto (tras haber realizado una conexión RFCOMM con el perfil de Carga de Objetos)






Podemos enviar archivos a teléfonos Windows Mobile a través del perfil de Transferencia de Archivos (OBEX File Transfer) utilizando la herramienta ObexFTP:

Citar

# obexftp -b BD_ADDR -p archivo


Acceso al sistema de archivos del teléfono

Windows Mobile implementa servicios OBEX para el intercambio de archivos con otros dispositivos a través del protocolo de Intercambio de Objetos (OBject EXchange). Pueden implementarse dos tipos de servicio:

Servicio OBEX para la recepción (push) de archivos - OBEX Object Push
o A través del perfil IrDA Point and Shoot
o A través del perfil Bluetooth de Carga de Objetos
o A través del perfil Bluetooth de Sincronización
o A través de OMA SyncML
Servicio OBEX para la transferencia de archivos - OBEX File Transfer
o A través del perfil Bluetooth de Transferencia de Archivos



Por lo general, todos los teléfonos Windows Mobile con IrDA y/o Bluetooth incorporan el servicio OBEX para la recepción de archivos.

Sólo algunos teléfonos disponen del servicio OBEX para la transferencia de archivos:




ASUS P525 (WM 5.0 - Pocket PC Phone)
ASUS P535 (WM 5.0 - Pocket PC Phone)
HTC P3450 / HTC TOUCH (WM 6 - Pocket PC Phone)
HTC P3300 / HTC ARTEMIS (WM 5.0 - Pocket PC Phone)
HTC P3600 / HTC TRINITY (WM 5.0 - Pocket PC Phone)
HTC S710 (WM 6 - Smartphone)
SAMSUNG i320 (WM 5.0 - Smartphone)



El servicio OBEX para la transferencia de archivos ofrece un punto de acceso remoto al sistema de archivos a través del perfil Bluetooth de Transferencia de Archivos, con capacidad para llevar a cabo las siguientes operaciones:

Listado de directorios
Creación de directorios
Borrado de directorios
Descarga de archivos
Subida de archivos
Borrado de archivos


Aunque los servicios OBEX deberían ser independientes de la implementación Bluetooth del dispositivo (ya que también pueden ser utilizados por otros estándares de comunicaciones como IrDA u OMA), en términos generales, suelen estar muy ligados. Así, el servicio OBEX para la transferencia de archivos se integra con la pila de protocolos Bluetooth instalada en el teléfono.

Se distinguen fundamentalmente dos pilas de protocolos Bluetooth para teléfonos móviles Windows Mobile:

Widcomm / Broadcom en dispositivo antiguos
Microsoft



Cada una de las pilas de protocolos hace uso de su propio software gestor de conexiones Bluetooth. Integrado en ese gestor, está la posibilidad de activar el servicio OBEX para la transferencia de archivos con el fin de compartir archivos con otros dispositivos y ofrecer un punto de acceso al sistema de archivos a partir de cierto directorio.



Por defecto, el directorio raiz del servicio OBEX para la transferencia de archivos es \My Documents y el acceso al sistema de archivos está limitado a ese directorio y niveles inferiores. Sin embargo, existe la posibilidad de especificar otros directorios con fines maliciosos, como \, a través de las siguientes claves de registro:

Pila Widcomm: HKLM\SOFTWARE\WIDCOMM\BTConfig\Services\003\Root
Pila Microsoft: HKLM\SOFTWARE\Microsoft\Obex\Services\{F9ec7bc4-953c-11d2-984e-525400dc9e09}\BaseDir


Nota importante: En el caso de la pila Microsoft, aunque es posible especificar cualquier carpeta del sistema como directorio raiz del servicio OBEX, a la hora de acceder remotamente con un cliente OBEX (ObexFTP, por ejemplo), se encuentran capados el directorio \ y el directorio \Windows, aunque no cualquier subdirectorio de \Windows, como \Windows\Messaging. (Muahahahaaa, ¿fallo chapucero de Microsoft?)

En el caso de la pila Widcomm, se puede especificar cualquier carpeta del sistema como directorio raiz sin restricciones de acceso.

Robo de datos a través del perfil de Transferencia de Archivos de Bluetooth

El robo de datos en teléfonos Windows Mobile se define como la descarga no autorizada de archivos con información sensible desde un teléfono a un equipo atacante.

Se distinguen dos tipos de datos que un teléfono Windows Mobile puede contener y que pueden ser de especial interés para un atacante remoto:

Documentos y archivos de medios con información personal o corporativa.
Elementos PIM (Personal Information Manager) con información personal.



En los siguientes apartados, se trata cada uno de los casos con detalle.

El acceso remoto por parte de un atacante podría comprometer la privacidad del usuario del teléfono móvil si este dispone de información confidencial almacenada en el directorio raiz del servicio OBEX o en sus respectivos subdirectorios. El caso se vuelve especialmente grave si el dispositivo atacante está autenticado en el teléfono y el usuario atacado no recibe una notificación de autorización de acceso, lo que permitiría al atacante acceder de forma transparente.

Recordemos que para que el atacante disponga de acceso al sistema de archivos a través del perfil de Transferencia de Archivos debe estar autenticado en el teléfono Windows Mobile, un privilegio que no tiene porque conseguir a través de un emparejamiento de dispositivos con el usuario objetivo.

Robo de archivos

Se definen como documentos y archivos de medios con información personal o corporativa de interés para un atacante remoto los siguientes archivos:

Fotos y vídeos capturados por la cámara del teléfono
Anotaciones con recordatorios de contraseñas o números de cuenta bancarios
Documentos estratégicos de la organización
...



Por lo general, la mayoría de los documentos y archivos de medios con información personal o corporativa suelen ser almacenados por el usuario en la carpeta \My Documents. Así, la cámara del teléfono suele almacenar por defecto las fotos y videos capturados en las carpetas \My Documents\My Pictures y \My Documents\My videos, respectivamente.

Resulta irónico que el directorio raiz por defecto del servicio OBEX para la transferencia de archivos sea \My Documents. Esta carpeta no contiene archivos ni programas utilizados por el sistema operativo pero curiosamente suele contener la información más personal del usuario del teléfono: \My Pictures, \My Videos, documentos personales o corporativos, etc.

A continuación se muestran algunas capturas de acceso a archivos almacenados en los teléfonos SAMSUNG i320 y ASUS P525:

Listado de directorios y descarga de imágenes

Listado de directorios y descarga de documentos corporativos




Robo de elementos PIM

Se definen como elementos PIM (Personal Information Manager) con información personal los siguientes datos:

Agenda de contactos
Calendario de citas
Lista de tareas pendientes
Mensajes SMS/MMS
Emails y ficheros adjuntos



En Windows Mobile, los elementos PIM se almacenan en archivos físicos y parte de la información se organiza en estructura de base de datos.

La agenda de contactos, el calendario de citas y la lista de tareas pendientes se almacenan en el volumen de base de datos \pim.vol
Los mensajes SMS y MMS se almacenan en el volumen de base de datos \cemail.vol
Los emails se almacenan en archivos individuales en \Windows\Messaging
Los ficheros adjuntos a los emails se almacenan en archivos individuales en \Windows\Messaging\Attachments



Si un atacante tuviera acceso completo al sistema de archivos (desde \) a través del perfil de Transferencia de Archivos, podría acceder a todos los archivos que almacenan elementos PIM y descargárselos en su equipo de igual modo que un documento o un archivo de medios. A pesar de que la información pueda estar organizada o no en estructura de base de datos, se almacena en texto plano y el contenido es fácilmente accesible.

Como ya se ha comentado anteriormente, el directorio raiz por defecto del servicio OBEX es \My Documents, por lo que todos los elementos PIM se encuentran en ficheros inaccesibles desde ese nivel. No obstante, sería factible enviar al usuario objetivo una aplicación troyano que modificara las claves de registro del servicio OBEX y especificar así otro directorio raiz más interesante, como \ o \Windows\Messaging.

Dependiendo de la pila de protocolos Bluetooth instalada en el teléfono, la clave de registro a modificar sería la siguiente:

Pila Widcomm: HKLM\SOFTWARE\WIDCOMM\BTConfig\Services\003\Root
Pila Microsoft: HKLM\SOFTWARE\Microsoft\Obex\Services\{F9ec7bc4-953c-11d2-984e-525400dc9e09}\BaseDir


Una vez que el atacante dispone de acceso completo al directorio raiz del sistema de archivos, obtener la agenda de contactos o los emails resulta fácil, como se muestra a continuación en unas capturas de un ataque a un teléfono ASUS P525:

Acceso a la agenda de contactos




Una vez conseguido el archivo pim.vol, podemos imprimirlo en pantalla o montarlo en otro dispositivo Windows Mobile.



Acceso al calendario de citas





Acceso a emails

Fuente: www.infohackargentina.com.ar/foro/index.php?topic=1896.0;wap2