![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic1.gif\")
Fig. 1<\/span><\/div>\nLos aparatos Bluetooth operan en una banda de frecuencia de entre 2.4 y 2.4835 GHz, que no requieren licencia. Para evitar la interferencia con otros aparatos que operan en la misma banda, la tecnolog\u00c3\u00ada utiliza un algoritmo de salto de frecuencia con 1600 saltos de frecuencia por segundo.<\/p>\n
El tiempo durante el cual los aparatos operan en una determinada frecuencia se llama franja de tiempo y tiene una duraci\u00c3\u00b3n de 625 microsegundos. Las unidades en una piconet cambian de frecuencia al mismo tiempo ante el comando de la unidad central, basado en una secuencia de salto pseudo aleatoria. La banda de frecuencia se divide en 79 canales separados por 1 MHz. Los datos son transmitidos en cuadros, los cuales pueden abarcar 1, 3 o 5 franjas.<\/p>\n
Existen dos tipos de conexi\u00c3\u00b3n: ACL (sin conexi\u00c3\u00b3n asincr\u00c3\u00b3nica, en ingl\u00c3\u00a9s asynchronous connectionless) y SCO (orientada a la conexi\u00c3\u00b3n sincr\u00c3\u00b3nica, en ingl\u00c3\u00a9s synchronous connection-oriented)<\/p>\n
El primer tipo de conexi\u00c3\u00b3n se utiliza para transferir datos que pueden ser manejados en cualquier momento. Una unidad dedicada s\u00c3\u00b3lo puede tener una conexi\u00c3\u00b3n ACL a la unidad central.<\/p>\n
El segundo tipo de v\u00c3\u00adnculo se utiliza para transferir datos en tiempo real, Ej., para transmitir datos de voz. Una unidad dedicada puede tener hasta 3 v\u00c3\u00adnculos SCO con la unidad central, cada uno con una tasa de 64 kb\/seg.<\/p>\n
La especificaci\u00c3\u00b3n Bluetooth divide a los aparatos Bluetooth en tres grupos:<\/p>\n
- \n
- Clase 1 100 mW 100m<\/li>\n
- Clase 2 2.5 mW 10m<\/li>\n
- Clase 3 1 mW 1m<\/li>\n<\/ul>\n
La mayor\u00c3\u00ada de los aparatos Bluetooth son Clase 2 o Clase 3.<\/p>\n
La pila (stack) del protocolo se ve as\u00c3\u00ad:<\/p>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic2.gif\")
Fig. 2<\/span><\/div>\nSe pueden encontrar mayores detalles en las especificaciones principales de Bluetooth.<\/p>\n
<\/a><\/p>\n
Mecanismos de seguridad<\/h2>\n
De acuerdo a la especificaci\u00c3\u00b3n, se puede proteger la informaci\u00c3\u00b3n de usuario cifrando los datos transmitidos. Mientras que el c\u00c3\u00b3digo de acceso y el encabezado del paquete se transmiten en un canal cifrado, los datos son cifrados utilizando la clave de transmisi\u00c3\u00b3n E0.<\/p>\n
Por lo tanto, los ataques a nivel del v\u00c3\u00adnculo de comunicaci\u00c3\u00b3n son claramente posibles.<\/p>\n
El Bluetooth puede operar en uno de los tres Modos de Seguridad:<\/p>\n
Modo de Seguridad 1 \u00e2\u20ac\u201c sin protecci\u00c3\u00b3n (sin seguridad)<\/strong> En este modo, no se utiliza ning\u00c3\u00ban cifrado ni autenticaci\u00c3\u00b3n, mientras que el aparato en s\u00c3\u00ad opera en un modo no discriminatorio, Ej. transmisi\u00c3\u00b3n (promiscua).<\/p>\n
Modo de Seguridad 2 \u00e2\u20ac\u201c basada en aplicaci\u00c3\u00b3n\/servicio (L2CAP)<\/strong>En este modo, una vez que se establece una conexi\u00c3\u00b3n, el Administrador de Seguridad realiza una autenticaci\u00c3\u00b3n, restringiendo de ese modo acceso al aparato.<\/p>\n
Modo de Seguridad 3 \u00e2\u20ac\u201c v\u00c3\u00adnculo-capa Autenticaci\u00c3\u00b3n con PIN\/ cifrado de direcci\u00c3\u00b3n MAC.<\/strong>Se realiza una autenticaci\u00c3\u00b3n antes de que se establezca una conexi\u00c3\u00b3n. Aunque se utiliza un cifrado transparente, incluso en este modo el aparato puede ser puesto en peligro.p><\/p>\n
La seguridad de Bluetooth se basa en la generaci\u00c3\u00b3n de claves utilizando c\u00c3\u00b3digos PIN, que pueden tener entre 1 y 16 bytes de longitud. La mayor\u00c3\u00ada de los aparatos actualmente utilizan PINs de 4 bytes.<\/p>\n
Primero, el algoritmo E2 se utiliza para generar una Clave de V\u00c3\u00adnculo de 16 bytes basada en un c\u00c3\u00b3digo de PIN.<\/p>\n
Despu\u00c3\u00a9s, se calcula una Clave de Cifrado basada en la Clave del V\u00c3\u00adnculo utilizando el algoritmo E3.<\/p>\n
La primera clave se utiliza para autenticaci\u00c3\u00b3n, la segunda para cifrado.<\/p>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic3.gif\")
Fig. <\/span><\/div>\n\u00c2\u00a0<\/p>\n
El proceso de autenticaci\u00c3\u00b3n es el siguiente:<\/p>\n
\u00c2\u00a0<\/p>\n
- \n
- El aparato que inicia la conexi\u00c3\u00b3n env\u00c3\u00ada su direcci\u00c3\u00b3n (BD_ADDR). Esta direcci\u00c3\u00b3n de 48-bit es \u00c3\u00banica, como una direcci\u00c3\u00b3n MAC de un adaptador de red. Con esta direcci\u00c3\u00b3n se puede determinar el fabricante de un aparato.<\/li>\n
- En respuesta, se env\u00c3\u00ada una secuencia aleatoria de 128-bit de desaf\u00c3\u00ado (AU_RAND)<\/li>\n
- Ambos aparatos generan una serie de respuesta de autenticaci\u00c3\u00b3n llamada SRES basada en BD_ADDR, la Clave de V\u00c3\u00adnculo y AU_RAND.<\/li>\n
- El aparato que trata de establecer la conexi\u00c3\u00b3n env\u00c3\u00ada su SRES.<\/li>\n
- El otro aparato compara el SRES recibido con el suyo propio y si las dos series coinciden, entonces establece una conexi\u00c3\u00b3n.<\/li>\n<\/ol>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic4.gif\")
Fig. 4<\/span><\/div>\nAunque el c\u00c3\u00b3digo PIN no se transmite de manera abierta, puede ser quebrado si se interceptan el BD_ADDR, AU_RAND y SRES.<\/p>\n
<\/a><\/p>\n
Tipos de Ataque Bluetooth<\/h2>\n
BlueBug<\/h3>\n
Esta vulnerabilidad permite a un atacante realizar acciones no autorizadas en un aparato habilitado con Bluetooth.<\/p>\n
En condiciones ideales, un ataque BlueBug toma solamente un par de segundos. La distancia entre el aparato de la v\u00c3\u00adctima y el aparato del atacante durante el ataque, est\u00c3\u00a1 limitada por el poder de transmisi\u00c3\u00b3n de los radios Bluetooth clase 2, el cual es, como se mencion\u00c3\u00b3 antes, de 10 a 15 metros. Se puede utilizar una antena direccional para incrementar el rango.<\/p>\n
Como algunos tel\u00c3\u00a9fonos permiten la emisi\u00c3\u00b3n de comandos AT, un atacante puede realizar las siguientes acciones:<\/p>\n
- \n
- iniciar una llamada<\/li>\n
- enviar SMSs a cualquier n\u00c3\u00bamero<\/li>\n
- leer SMSs del tel\u00c3\u00a9fono<\/li>\n
- leer y escribir entradas en el directorio<\/li>\n
- configurar desv\u00c3\u00ados de llamada<\/li>\n
- etc..<\/li>\n<\/ul>\n
Blueprinting<\/h3>\n
El Blueprinting puede utilizarse para acceder a los detalles de los aparatos v\u00c3\u00adctima habilitados con Bluetooth. De acuerdo a lo antes mencionado, cada aparato de Bluetooth tiene una direcci\u00c3\u00b3n \u00c3\u00banica. Esta direcci\u00c3\u00b3n consiste en 6 bytes (por lo general se presentan de forma similar a las de las direcciones MAC MM:MM:MM:XX:XX:XX). Los primeros tres bytes de esta direcci\u00c3\u00b3n (los bytes M) se refieren al fabricante del juego de chips. Por desgracia, en el caso de los restantes tres bytes (los bytes X), la situaci\u00c3\u00b3n no es tan simple y no es posible identificar en un 100% el modelo del aparato.<\/p>\n
Todos los aparatos con capacidad Bluetooth tienen una variedad de servicios. Se puede obtener la lista de servicios por medio del protocolo de descubrimiento de servicio (SDP, por las siglas en ingl\u00c3\u00a9s de service discovery protocol). Se puede consultar al aparato, lo cual resulta en informaci\u00c3\u00b3n proporcionada en un formato espec\u00c3\u00adfico que despu\u00c3\u00a9s puede ser utilizada para identificar el modelo del aparato.<\/p>\n
BlueSmack<\/h3>\n
El BlueSmack es un ataque DoS que puede ser realizado utilizando herramientas est\u00c3\u00a1ndar que son transportadas con Bluez Linux.<\/p>\n
El BlueSmack es similar a un ataque bien conocido que fue utilizado para atacar las primeras versiones del Windows 95 de Microsoft.<\/p>\n
Al igual con el ping ICMP, la idea del ping L2CAP es tambi\u00c3\u00a9n comprobar la conectividad y medir el tiempo de retorno en un v\u00c3\u00adnculo establecido. Con la ayuda de la herramienta 12ping que se transporta con el distributivo BlueZ est\u00c3\u00a1ndar, el usuario puede especificar la extensi\u00c3\u00b3n de los paquetes a ser enviados. Para lograr el resultado deseado, puede usarse la opci\u00c3\u00b3n -s para especificar un tama\u00c3\u00b1o de aproximadamente 600 bytes.<\/p>\n
BlueSnarf<\/h3>\n
Este es probablemente el ataque Bluetooth m\u00c3\u00a1s conocido. El atacante utiliza el OBEX Push Profile (OPP), originalmente desarrollado para intercambiar tarjetas de negocios y otros objetos. En la mayor\u00c3\u00ada de los casos este servicio no requiere autenticaci\u00c3\u00b3n. El ataque BlueSnarf realizar una solicitud OBEX GET de nombres de archivo conocidos tales como \u00e2\u20ac\u02dctelecom\/pb.vcf\u00e2\u20ac\u2122 (el directorio telef\u00c3\u00b3nico) o \u00e2\u20ac\u02dctelecom\/cal.vcs\u00e2\u20ac\u2122 (el archivo calendario). Si el firmware en el aparato v\u00c3\u00adctima se implement\u00c3\u00b3 de forma incorrecta, el atacante puede obtener acceso a todos los archivos del aparato v\u00c3\u00adctima.<\/p>\n
BlueSnarf++<\/h3>\n
Este ataque es muy similar al BlueSnarf. La principal diferencia es el m\u00c3\u00a9todo utilizado por un atacante para obtener acceso al sistema de archivos del aparato v\u00c3\u00adctima. El BlueSnarf++ le da al atacante un acceso de lectura\/escritura total por medio del OBEX Push Profile. Si se est\u00c3\u00a1 ejecutando un servidor de FTP OBEX en el aparato, se puede establecer una conexi\u00c3\u00b3n por medio del servicio OBEX Push sin emparejamiento.<\/p>\n
El atacante puede ver todos los archivos en el sistema de archivos (utilizando el comando 1s) e inclusive borrar archivos (el comando rm) El atacante tambi\u00c3\u00a9n puede realizar acciones en cualquier memoria instalada en el aparato, incluyendo tarjetas de extensi\u00c3\u00b3n de memoria tales como Memory Stick o tarjetas SD.<\/p>\n
HelloMoto<\/h3>\n
This is a combination of BlueSnarf and BlueBug.<\/p>\n
\u00c3\u2030ste es una combinaci\u00c3\u00b3n de BlueSnarf y BlueBug.<\/p>\n
Este ataque explota el procesamiento incorrecto del manejo de \u00e2\u20ac\u02dcaparatos confiables\u00e2\u20ac\u2122 de algunos tel\u00c3\u00a9fonos Motorola.<\/p>\n
El atacante inicia una conexi\u00c3\u00b3n utilizando el OBEX Push Profile y simula el env\u00c3\u00ado de una vCard. Entonces el proceso de env\u00c3\u00ado se interrumpe, pero el aparato del atacante permanece en la lista de aparatos confiables en el tel\u00c3\u00a9fono de la v\u00c3\u00adctima. Utilizando esta entrada a la lista de aparatos confiables, el atacante puede conectarse al perfil del tel\u00c3\u00a9fono sin autenticaci\u00c3\u00b3n. Una vez que se establece una conexi\u00c3\u00b3n, el atacante puede tomar control del aparato utilizando comandos AT.<\/p>\n
BlueBump<\/h3>\n
Este ataque utiliza ingenier\u00c3\u00ada social. La idea es establecer una conexi\u00c3\u00b3n confiable con el aparato de la v\u00c3\u00adctima. Esto se puede lograr enviando una tarjeta de negocios a fin de hacer que el receptor realice una autenticaci\u00c3\u00b3n. El atacante mantiene la conexi\u00c3\u00b3n abierta pero le pide a la v\u00c3\u00adctima que borre la clave de v\u00c3\u00adnculo del aparato del atacante. La v\u00c3\u00adctima no es conciente de que la conexi\u00c3\u00b3n a\u00c3\u00ban est\u00c3\u00a1 activa. El atacante entonces solicita una regeneraci\u00c3\u00b3n de la clave de v\u00c3\u00adnculo. Como resultado, el aparato de atacante obtiene una nueva entrada en la lista, sin autenticaci\u00c3\u00b3n. Entonces el atacante tiene acceso al aparato v\u00c3\u00adctima hasta que se borre la clave.<\/p>\n
BlueDump attack<\/h3>\n
En este caso, el atacante necesita saber el BDADDR de un juego de aparatos emparejados. El atacante imita la direcci\u00c3\u00b3n de uno de los aparatos y se conecta al otro. Como el atacante no tiene una clave de acceso, cuando el aparato v\u00c3\u00adctima solicita autenticaci\u00c3\u00b3n, el aparato del atacante responder\u00c3\u00a1 con \u00e2\u20ac\u02dcHCI_Link_Key_Request_Negative_Reply\u00e2\u20ac\u2122, lo cual, en algunos casos, causar\u00c3\u00a1 que el aparato objetivo borre su propia clave de v\u00c3\u00adnculo y se ponga en un modo de emparejamiento.<\/p>\n
BlueChop<\/h3>\n
El prop\u00c3\u00b3sito de este ataque es el de afectar una piconet establecida utilizando un aparato que no es parte de la red. Este ataque se basa en el hecho de que la unidad central soporta conexiones m\u00c3\u00baltiples que pueden ser utilizadas para crear una red extendida (una scatternet). El atacante imita la direcci\u00c3\u00b3n de un aparato al azar que es parte de la piconet y se vincula a la unidad central, afectando a la piconet.<\/p>\n
<\/a><\/p>\n
Investigaci\u00c3\u00b3n, o War-nibbling (detecci\u00c3\u00b3n de dispositivos Bluetooth) de A\u00c3\u00b1o Nuevo<\/h2>\n
Las v\u00c3\u00adsperas de A\u00c3\u00b1o Nuevo, la festividad m\u00c3\u00a1s importante de Rusia, son una excelente \u00c3\u00a9poca para realizar investigaci\u00c3\u00b3n en Bluetooth. Los centros comerciales est\u00c3\u00a1n llenos de clientes buscando regalos para sus seres queridos. Esto hace de los centros comerciales, un excelente escenario para investigar cu\u00c3\u00a1ntos aparatos Bluetooth est\u00c3\u00a1n en modo abierto (descubrible), y cuales de estos aparatos tiene vulnerabilidades. Lo mejor de todo es que, ?esto puede combinarse con la compra de regalos!<\/p>\n
Mi amigo y yo fuimos de compra y nos llevamos un ordenador con un adaptador Bluetooth. El equipo que utilizamos para nuestra investigaci\u00c3\u00b3n fue:<\/p>\n
- \n
- Un ordenador portatil Sony Vaio fxa 53.<\/li>\n
- SuSE 10.0 OSS.<\/li>\n
- un adaptador Bluetooth PCMCIA<\/li>\n
- btscanner 2.1<\/li>\n<\/ol>\n
Visitamos varios centros comerciales y recolectamos la informaci\u00c3\u00b3n descrita a continuaci\u00c3\u00b3n.<\/p>\n
Los aparatos (tel\u00c3\u00a9fonos m\u00c3\u00b3viles y agendas electr\u00c3\u00b3nicas) pueden operar en modo descubrible o no descubrible. Es posible examinar aparatos no descubribles utilizando un acercamiento de fuerza bruta (intentando con una gran cantidad de direcciones diferentes). Sin embargo, no hicimos esto y examinamos solamente aparatos en modo descubrible.<\/p>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic5_s.png\")
<\/a>
\nFig. 5<\/span><\/div>\nEn total, se detectaron 194 aparatos, principalmente tel\u00c3\u00a9fonos m\u00c3\u00b3viles. La figura 6 muestra un desglose de estos aparatos por fabricante. Nokia y Sony-Ericsson dominan, lo que se confirma en otros estudios.<\/p>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_chart1.png\")
Fig. 6<\/span><\/div>\n![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_chart2.png\")
Fig. 7<\/span><\/div>\nEstos aparatos, que son los que se utilizan de forma m\u00c3\u00a1s com\u00c3\u00ban, son tambi\u00c3\u00a9n los m\u00c3\u00a1s vulnerables a los ataques Bluetooth m\u00c3\u00a1s comunes. El programa Btscanner mostr\u00c3\u00b3 que el 25% de todos los aparatos examinados eran vulnerables al ataque snarf.<\/p>\n
![](\"http:\/\/images.kaspersky.com\/sp\/vlpub\/0602_sapronov_bt_pic5.png\")
<\/a>