手上有啥就搞啥(一) 小米手环3 

电子产品日新月异,不知不觉手上已积了一堆设(po)备(lan),与其吃灰不如折腾一下,以研促学,可能会遇见以前没接触到奇奇怪怪的知识点。

本篇是”手上有啥就搞啥“系列的第一篇,研究对象是小米手环3,侧重点是Cortex-M固件BLE协议分析。小米手环已将出到7了,有人会问为什么不研究最新的,因为我没(hen)有(qiong) -.-。下文在0x00中介绍基础知识,0x01简单梳理前人经验成果,0x02中阐述固件逆向和协议分析过程,实现手环 BLE Hack,最后在0x03做个总结。

0x00 基础知识

0x00 – 00 BLE (Bluetooth Low Energe)

蓝牙1.0使用BR技术,2.0使用EDR技术,区别在于通信技术层面有所改进。蓝牙4.0时引进了诺基亚开发的一种名为Wibree的无线技术,称为BLE。仅支持BR/EDR的被淘汰掉了,只支持BLE的称为单模,同时支持经典蓝牙BR/EDR和低功耗蓝牙BLE的称为双模蓝牙。蓝牙5.0是BLE针对IoT进行的改进版本,更省电。

经典蓝牙ER/EDR没被淘汰是因为速度比BLE快的多,特点是需要配对,BLE优点在省电,延迟低,特点是数据包短,广播频道少,可以开发不配对的应用iBeacon。

蓝牙通信原理和socket不同,因此底层收发数据的通信协议也有较大的差别。BLE主要通过Attribute的形式共享信息。ATT协议主要是定义了Attribute(属性)这个数据结构。一个attribute由三个元素组成:

  • 16 bit的句柄(唯一性,用于区分和查找不同的attribute)
  • UUID(ATT本身不定义,留给GATT来定义)
  • 一个定长的值value(配合UUID使用,由GATT来决定这个UUID的意义和数据)这有点像网络分层模型。

0x00 – 01 ARM Cortex-M

ARM Cortex内核系列提供非常广泛的具有可扩展性的性能选项,设计人员有机会在多种选项中选择最适合自身应用的内核,而非千篇一律的采用同一方案。Cortex系列组合大体上分为三种类别:

● Cortex-A — 面向性能密集型系统的应用处理器内核

● Cortex-R — 面向实时应用的高性能内核

● Cortex-M — 面向各类嵌入式应用的微控制器内核

其中 Cortex-M架构被广泛应用于IoT产品,医疗电子产品,工业控制产品和基带系统,M系列不能跑操作系统(只能跑 ucos2 ),偏向于控制方面,由于其固件十分精简提供的额外信息较少,固件逻辑非线性,使得安全分析难度很高,M系使用的是ARM的Thumb指令集。

0x01 站在巨人的肩上

由于小米手环3比较古老,研究资料还是很丰富的,主要在硬件拆解手环unbrick资源文件提取和美化BLE认证协议解析方面,但在固件逆向分析方面的资料几乎没有,下简略介绍前人成果。

0x01 – 00 硬件拆解

拆解可以参考eWisetech的6步拆解法,这里不作赘述。

手上有啥就搞啥(一) 小米手环3 需要的是芯片信息以供进一步研究:

手上有啥就搞啥(一) 小米手环3 

红色:Dialog-DA14681-蓝牙

绿色:STMicroelectronics-加速度传感器

青色:Gigadevice -GD25LQ32 –Flash芯片

深紫:Maxim

蓝色:NXP-PN80T- NFC控制芯片

橙色:TI-TPS61046-电源控制芯片

紫色:Azoteq-IQS266-触摸控制芯片

深绿:SGMICRO-Flash芯片

棕色:ON Semi-ESD7383-电源保护芯片(3颗)

由于需要对固件和BLE协议分析,所以重点关注的信息是Flash芯片蓝牙芯片的型号。

0x01 – 01 固件提取

  • APK中提取

下载小米运动App(小米手环3时还叫这个名字),利用apktool可解包(具体过程略),需要的固件包如下所示:

手上有啥就搞啥(一) 小米手环3 

分别是:

Mili_wuhan.fw – 固件

Mili_wuhan.res – 资源文件

  • 硬件接口提取

可以试用 FT2232 芯片组的编程器(FT2232 编程器)读写GD25LQ32 Flash固件。

手上有啥就搞啥(一) 小米手环3 下图为电路图,GD25LQ32的电源电压为 1.8V,该存储器的 SPI 接口容差为 3.3V。对GD25LQ32进行读写时,必须断开频段3的3.8V的电压,否则处理器会阻止通过 SPI 接口进行通信。

手上有啥就搞啥(一) 小米手环3 

工具下载: Windows(v1.0.1-rc2) / Ubuntu(v0.9.9+r1954-1)

FlashromFT2232H SPI Flash programmerwindows 驱动: **Zadig libusb-win32,**Linux 需要安装 “libusb-win32” 。

  • 读取 GD25LQ32 内存:

flashrom -p ft2232_spi:type=2232H,port=A -c GD25LQ32 -r MB3_FullFlash_brick.bin

“MB3_FullFlash_brick.bin” 为输出文件.

  • 擦除 GD25LQ32 内存:

flashrom -p ft2232_spi:type=2232H,port=A -c GD25LQ32 -E

  • 写入 GD25LQ32 内存:

flashrom -p ft2232_spi:type=2232H,port=A -c GD25LQ32 -w MB3_FullFlash_unbrick.bin

“MB3_FullFlash_unbrick.bin” 为输入文件.

当然也可以直接在 此网站下载提取好的固件资源。

0x01 – 02 资源文件修改

通过上文可知,Mili_wuhan.res是手环的资源文件,是标准的res格式,可使用**AmazfitBipTools**解析,该工具将res文件解压缩并转换为png,

手上有啥就搞啥(一) 小米手环3 替换资源后再重新打包并将其转换为res文件。

手上有啥就搞啥(一) 小米手环3 

0x01 – 03 认证协议

从APP控制端出发,认证协议如下:

  • 向认证 UUID (00000009-0000-3512-2118-0009af100700) Descriptor 写入 x01x08请求,即发送认证请求头;
  • 发送16字节密钥KEY(自己设置),并加上头,即 x01x08 + KEY;
  • 手环会回复随机数 x02x08 + Random(尾部 16 bytes),在Characteristic读取获得;
  • 使用第二部中的16字节密钥KEY加密随机数,方式是AES/ECB/NoPadding,发送给手环

x03x08 + encrypt data)

可参考 auth.py代码,也可参见 GadgetBridge项目,该项目构建了一个免费的手环 Android 端管理APP,以替代供应商的闭源(且远程云同步数据)的 APP,支持Pebble、小米手环、Liveview和HPlus等。

下文也会通过固件逆向方式分析找出认证过程

0x02 自己动手做

0x02 – 00 固件逆向

固件逆向需要先收集一些信息,简单流程如下图:

手上有啥就搞啥(一) 小米手环3 

手环这样的小设备应该是没有文件系统的,先用binwalk看下信息:

手上有啥就搞啥(一) 小米手环3 

binwalk没有识别出任何信息,指令和架构也无法识别。

直接拖入IDA pro,架构选择ARM(可通过Flash芯片判断),如下图所示:

手上有啥就搞啥(一) 小米手环3 

同样没有识别出任何信息 -.- 。

这就是使用到了0x00中的基础知识和0x01中的硬件信息,通过拆解可知芯片是 Gigadevice -GD25LQ32 –Flash芯片,使用ARM Cortex-M架构,在分析时需要注意的是Corex-M使用Thumb指令集,所以IDA没有识别出来(后来使用Ghidra可以识别,还是过于相信IDA了),需要按ALT+g,把里面T的值改为0x1。

手上有啥就搞啥(一) 小米手环3 函数和字符串会部分识别,当然并不全,下面就需要找到基地址。

手上有啥就搞啥(一) 小米手环3 

找基址的套路还是比较多的,根据Datasheet、头结构、表结构、字符串等等,最后通过交叉引用验证,这里我们可以:

  • 通过Cortex-M标准结构

熟悉Cortex-M架构的话,很容易从这里面发现一些关键的东西。比如红框里这两个地址,上面的那个是SP指针的初始位置,下面这个是加载基址,CPU从这个位置开始运行。

手上有啥就搞啥(一) 小米手环3 

所以猜测运行基址是 0x8004000,rebase之后发现交叉引用也识别出来了。

  • 懒人新宠—爆破

可以使用 Basefind2爆破加载地址,这是一个 python 脚本,只有一个py文件,感兴趣的小伙伴可以研究下原理(从字符串出发),一个命令搞定,有很好的辅助作用。

手上有啥就搞啥(一) 小米手环3 

至少在这里是比较好用的,有点惊喜。

接下来就是恢复函数、字符串等信息,并祈祷有符号,可以写个IDApython脚本,可以看到脚本运行后函数基本恢复,字符串也识别出来,有明显的表结构与引用对应。如下图所示:

手上有啥就搞啥(一) 小米手环3 

但是祈祷果然没用,没有符号,也没有找到类似vxworks那样函数字符串表 -.-。

面对这样的情况一般有几种方法,无论什么方式都要注意,在逆向时一定要明确目的,一般并不是要恢复所有源码,如果目的不聚焦,可能进入无尽循环…

  • 根据字符串信息恢复关键函数
  • 根据SVD中断向量表恢复
  • 使用bindiff与包含符号的固件比较

因为这里主要关注BLE,从硬件信息得知,蓝牙使用Dialog-DA14681芯片,之前笔者制作过nRF的开发,所以对这个芯片的开发函数不熟,所以选择从字符串出发分析,有兴趣的同学可以编译DA固件再用bindiff比较。

首先BLE最重要的是UUID,也最好识别,小米手环3的UUID如下代码描述:

BASE = "0000%s-0000-1000-8000-00805f9b34fb"

SERVICE_MIBAND3 = BASE % 'fec1'
SERVICE_ALERT = BASE % '1802'
SERVICE_ALERT_NOTIFICATION = BASE % '1811'
SERVICE_HEART_RATE = BASE % '180d'
SERVICE_DEVICE_INFO = BASE % '180a'

CHARACTERISTIC_HZ = "00000002-0000-3512-2118-0009af100700"
CHARACTERISTIC_SENSOR = "00000001-0000-3512-2118-0009af100700"
CHARACTERISTIC_AUTH = "00000009-0000-3512-2118-0009af100700"
CHARACTERISTIC_HEART_RATE_MEASURE = "00002a37-0000-1000-8000-00805f9b34fb"
CHARACTERISTIC_HEART_RATE_CONTROL = "00002a39-0000-1000-8000-00805f9b34fb"
CHARACTERISTIC_ALERT = "00002a06-0000-1000-8000-00805f9b34fb"
CHARACTERISTIC_CUSTOM_ALERT = "00002a46-0000-1000-8000-00805f9b34fb"
CHARACTERISTIC_BATTERY = "00000006-0000-3512-2118-0009af100700"
CHARACTERISTIC_STEPS = "00000007-0000-3512-2118-0009af100700"
CHARACTERISTIC_LE_PARAMS = BASE % "FF09"
CHARACTERISTIC_REVISION = 0x2a28
CHARACTERISTIC_SERIAL = 0x2a25
CHARACTERISTIC_HRDW_REVISION = 0x2a27
CHARACTERISTIC_CONFIGURATION = "00000003-0000-3512-2118-0009af100700"
CHARACTERISTIC_DEVICEEVENT = "00000010-0000-3512-2118-0009af100700"

CHARACTERISTIC_CURRENT_TIME = BASE % '2A2B'
CHARACTERISTIC_AGE = BASE % '2A80'
CHARACTERISTIC_USER_SETTINGS = "00000008-0000-3512-2118-0009af100700"

NOTIFICATION_DESCRIPTOR = 0x2902

# Device Firmware Update
SERVICE_DFU_FIRMWARE = "00001530-0000-3512-2118-0009af100700"
CHARACTERISTIC_DFU_FIRMWARE = "00001531-0000-3512-2118-0009af100700"
CHARACTERISTIC_DFU_FIRMWARE_WRITE = "00001532-0000-3512-2118-0009af100700"

先搜索认证的UUID : 00000009-0000-3512-2118-0009af100700

手上有啥就搞啥(一) 小米手环3 

通过字符串的交叉引用很容易就定位认证的位置,可以通过参数个数,参数类型等比较猜测具体函数,先来看DA蓝牙的一些常用函数:

bool ble_uuid_from_string(const char *str, att_uuid_t *uuid)
描述:UUID字符形式转存到字符数组中
输入:*Str:字符形式UUID
*uuid:最终存放uuid的数组
返回:Bool类型

ble_error_t ble_gatts_add_service(const att_uuid_t *uuid, const gatt_service_t type,uint16_t num_attrs)
描述:添加服务
输入:*uuid:该服务的UUID
Type:主服务 or 次要服务
Num_attrs:属性数量
返回:ble_error_t

ble_error_t ble_gatts_add_characteristic(const att_uuid_t *uuid, gatt_prop_t prop, att_perm_t perm,uint16_t max_len, gatts_flag_t flags, uint16_t *h_offset,uint16_t *h_val_offset)
描述:添加特征值属性
输入:*uuid:该特征值的UUID
gatt_prop_t prop:读、写、通知等属性
att_perm_t  perm:ATT attribute permission
gatts_flag_t flags:GATT Server flags
uint16_t max_len:数据长度
uint16_t *h_offset:NULL
uint16_t *h_val_offset:custom rx characteristic handle
返回:ble_error_t

ble_error_t ble_gatts_add_descriptor(const att_uuid_t *uuid, att_perm_t perm, uint16_t max_len, gatts_flag_t flags, uint16_t *h_offset)
描述:添加特征值属性
输入:*uuid:该特征值的UUID
att_perm_t  perm:ATT attribute permission
gatts_flag_t flags:0
uint16_t max_len:数据长度
uint16_t * h_offset:custom descripte handle
返回:ble_error_t

根据函数功能、参数可恢复一些关键符号如下图所示:

手上有啥就搞啥(一) 小米手环3 可以看到有些地址在加载基址之前,需要进一步研究,但并不影响认证过程的大致分析。还可以看到,红框中第二个UUID正对应小米手环3的 service UUID。通过此种方法还可以恢复一些其他BLE读写操作,分析都十分简单,这里不再赘述。

手上有啥就搞啥(一) 小米手环3 

0x02 – 01 BLE Hack

Hack 的目的很简单,就是通过BLE接管手环,并显示预设的文字 (但当我研究到一半才发现小米手环3 没有显示文字信息这个功能 -.-)。

  • 环境准备

手机端测试的APP可使用 nrf connect,功能还是比较强大的。

手上有啥就搞啥(一) 小米手环3 Andriod 协议抓包的工具也很多,现在root困难,都流行代理式(实际就是中间人),在这里BLE协议抓包可使用 Andriod 的自身机制,十分简便。即打开蓝牙log和USB调试功能:

手上有啥就搞啥(一) 小米手环3 等与手环交互完毕,日志就存在 /sdcard/btsnoop_hci.log 中,可以直接试用Wireshark打开分析:

手上有啥就搞啥(一) 小米手环3 
  • BLE 劫持

本来意图是在前人研究基础上做个信息显示,后来发现手环3没有这个功能,硬要改也只是改个显示时间,所以最多算做了个复现。可以看到前人的 研究工具 已经比较全面了:

手上有啥就搞啥(一) 小米手环3 笔者试用的是Attifyos3.0 (ubuntu 18.04)虚拟机环境,python3.7, 复现时需对工具作多处修改,都是语法类的错误,与BLE协议本身实现无关,简介下步骤,也算是比较傻瓜了,感兴趣的小伙伴可以一同复现:

1、sudo hcitool lescan扫描手环MAC地址

手上有啥就搞啥(一) 小米手环3 

2、利用 python3 main.py DF:DE:80:B7:1A:3B劫持BLE

简单试了下获取心率和通知功能(要修改部分代码),由于 资料描述已经很详细了,这里再描述充其量也就算个翻译,所以不再赘述。

手上有啥就搞啥(一) 小米手环3 

0x03 做个总结

本篇是针对小米手环3作了一些BLE协议和固件逆向方面的基础研究。固件方面虽然去除了符号,一定程度提高分析门槛,但没有实质的保护措施;BLE协议方面还是存在一些缺陷的,比较容易遭到攻击,好在连接有物理确认。当然,小米手环已经出到7代,各方面安全性应该有所提升,等有钱买再研究吧,下个设(po)备(lan)见。

0x04 参考资料

I hacked Xiaomi MiBand 3, and here is how I did it.

使用IDA pro逆向ARM M系核心的Bin固件

ARM Cortex-M架构逆向分析与安全

嵌入式 蓝牙 BLE服务service添加流程

11种常见的蓝牙攻击方法简析 

本文作者:WoKough, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/24200

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月23日 下午9:58
下一篇 2022年9月24日 下午9:33

相关推荐