android蓝牙安全,[原创]CVE-2017-13258 Android 蓝牙BNEP漏洞分析

最新推荐文章于 2023-12-11 17:12:13 发布
最新推荐文章于 2023-12-11 17:12:13 发布
阅读量228 收藏
点赞数
文章标签: android蓝牙安全

1、概述

三月份的Android 安全公告中披露了多个蓝牙方面的系统层漏洞,漏洞多出现在BNEP中,涉及的源码版本为5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1,覆盖范围较广。本文以CVE-2017-13258漏洞为例进行分析,该漏洞类型为内存信息泄露,危害等级为High。

2、协议简介

2.1介绍

BNEP(Bluetooth Network Encapsulation Protocol)为蓝牙网络封装协议。BNEP将多种通过蓝牙L2CAP(逻辑链路控制与适配协议)传输的网络协议数据包进行封装处理。L2CAP为蓝牙提供数据链路层。BNEP被用于通过蓝牙来传输控制和数据包以此为蓝牙设备提供联网功能。BNEP提供的功能类似于以太网(EthernetII/DIX/Framing /IEEE 802.3)提供的。

2.2 协议栈

如下图所示:

5bdc0b764b495101ddbd39ed50a38831.png

2.3 BNEP头部格式

所有的BNEP 头部格式都遵从下图所描述的格式。所有支持BNEP的设备必须具备能够解析定义好的BNEP包类型的能力。支持BNEP的设备有可能会处理压缩的BNEP头部,也有可能不会。任何包含保留的BNEP头数据包类型的数据包必须下放到处理扩展头部的过程中进行处理。

c4f094d38c61a2155276b7f05914f9b9.png

前一个字节中,BNEP Type 大小为7bit,Extension Flag 为 1 bit。BNEP Type 的值如下图所示。

e417c864c4e9600162503e85548653db.png

BNEP Type 的value设置为0x01,也即是BNEP_CONTROL,属于控制包。E标志置0表示BNEP头部后面紧跟着就是Payload,置1表示BNEP头部后面是扩展头部,需要进一步解析。由于本案例中触发漏洞的数据包是控制包,这里就直接讲解BNEP_CONTROL包的格式。BNEP_CONTROL包是用来交换控制信息,包格式如下图所示。

fb157e34a1a62945a6a3a288cc5f2f5b.png

从8到15位属于BNEP Control Type域,占一个字节大小。BNEP Control Type分为多种,具体值如下图所示。

2c2e3e46511b25b81da907c45deb4931.png

BNEP Contrl Type值为0x00表示BNEP_CONTROL_COMMAND_NOT_UNDERSTOOD类型。大致理解为该控制包发送的控制指令无法被解析或理解。该数据包最终格式如下图所示:

1273b478af45973da79c69176bf9e1b5.png

最后再简单提一下扩展包格式。我们前面讲到,只要是E 标志位被置1后,BNEP头部后面紧跟着就是扩展包头部。扩展包格式如下图所示。

ae4bc65c688dd4943acc05324d4abd2e.png

前一个字节依然是类型,第二个字节是扩展包长度,后面从第三个字节开始就是扩展包载荷。这里的Extension Type取值如下图所示。

5d9eacef7e319371a3851a392506995c.png

Extension Type取值为0x00表示BNEP_EXTENSION_CONTROL。这里需要表明一下,BNEP_EXTENSION_CONTROL数据包类型头和BNEP_CONTROL数据包类型头可以互换使用。

3、漏洞原理

该漏洞出现在bnep_data_ind函数中,当从L2CAP层接收到数据时,该函数被调用。文件路径为system\bt\stack\bnep\bnep_main.c。本文以8.0.0_r4版本为例。

70422a2f9f9630b885d38807ac5c4160.png

p_buf指针指向的一个BT_HDR数据块,行434,计算存放数据包的地址,p指向数据包起始地址。BT_HDR结构体如下所示:

aa97e6dc13d9c69ac2bb6ffa92b3322c.png

Len存放数据包的长度,offset存放偏移地址,用于计算数据包的起始地址。接着向下分析。

17bc53709139dab32e6307532a63e729.png

行450,取TYPE,然后p跳过一个字节。行451,计算E标志位。行453,判断数据包长度, 最小值不能小于头部长度和最大值不能大于BNEP的MTU值。然后数据包长度减一。

ea94fc85f4f37517230a13cfcbcff4e1.png

行469,如果E标志位为真,就进入扩展头解析。行481,取扩展头的E标志位,行482,取扩展包包含的payload长度,这个长度不包括头部域和长度域的两个字节。这个length域是用户可控的。行483,p指针跳过第一个扩展包的payload数据域,指向下一个数据包。

行485,判断没有下一个扩展包并且发送的BNEP_CONTROL_TYPE不属于已有定义类型,进入bnep_send_command_not_understood(p_bcb,*p),该函数是将错误指令回写到数据包中,并返给客户端。如下图所示。

efc009dddfabc2ce080a96d4edfb7ab6.png

根据以上分析,就可以构造特定数据包绕过检测进行内存信息泄漏。

4、漏洞复现

Exploit-db网站已经发布了利用代码,链接地址在文末。关键利用代码,如下图所示。

559558f55ce3a245dbabc5dbac4c8b92.png

在刷入版本8.0AOSP的nexus5x上测试,结果如下图所示。

851ec71e66c8363831663fddf6f47883.png

5、漏洞调试

在bnep_data_ind函数上下断点。如下图所示。

323acf884e8fecdcbbd91154263e22e4.png

执行利用代码,命中断点后。打印相关数据,如下图所示

cacd74bc016bab14dcf911946cac584b.png

地址0x7a408d8a58为存放数据包的地址。执行到行486处,即将写入返回数据。X1寄存器存放着泄漏的数据,该值为0xc9。如下图所示。

d6c23ac2cec635dc65f401c6463a8dbe.png

从0x7a408d8a58开始,跳过三字节数据包头部,跳过扩展包一个字节的payload,0x7a408d8a5c处的0xc9作为Unknown Control Type返回给客户端。结束。

=================================================我是分割线=======================================

调试过程的一些小tips:

Cat /proc/`pid`/maps | grep bluetooth.default.so 确定调用的so是32位还是64位。以免gdbclient挂载不上。

prebuilts/misc/android-arm64/gdbserver64 推到手机里面

Adb root

adb remount 重新挂在文件系统。

Cp /sdcard/gdbserver64 /system/bin/

Gdbclient `pid`

Info sharedlibrary  查看加载模块,找基地址。

list bnep_data_ind 直接列出函数

计算函数偏移:

lib_start_addr + 相对虚拟地址(虚拟地址-区段起始地址),

相关链接

https://www.exploit-db.com/exploits/44326/

http://grouper.ieee.org/groups/802/15/Bluetooth/BNEP.pdf

NotionHQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android ble蓝牙接收不到数据_BLE安全现状与挑战
weixin_34722157的博客
01-03 760
随着科技发展,我们身边的智能设备越来越多,包括手机,智能音箱,智能手表,智能电视机等等。在这些智能设备中有一部分属于低功耗智能设备,而BLE是这些低功耗设备常用的通信方式。那我们了解过BLE是什么吗?BLE的安全现状又是怎么的呢?通过下面的介绍,你将会有所了解。01认识BLE蓝牙低功耗(Bluetooth Low Energy或称BLE),使用于小数据率,离散传输的应用,是对经典蓝牙BR...
bias:蓝牙模拟攻击(BIAS)[CVE 2020-10135]
03-12
自述文件 关于存储库。 相关工作: [S&P20] [SEC19] 我要感谢NilsGlörfeld对CYW920819开发板的固件进行反向工程和修补,以及对Linux内核进行修补的贡献。
蓝牙App系列漏洞原理分析漏洞利用
Tasfa的博客
11-07 2732
蓝牙App系列漏洞原理分析漏洞利用 作者: heeeeen 本文系转载,目的是学习,如有侵权,请联系删除 转载出处:http://www.ms509.com/ 蓝牙App漏洞系列分析之一CVE-2017-0601 0x01 概要 2017年5月的Android安全公告修复了我们提交的一个蓝牙提权中危漏洞,这个漏洞尽管简单,但比较有意思,能够使本地恶意App绕过用户交互,使用户强制接收外部传入...
蓝牙网络封装协议
qq_40859989的博客
11-22 997
蓝牙网络封装协议(BluetoothNetworkEncapsulationProtocal,BNEP)概述 用于使集成蓝牙技术的电脑、电话、个人数字助理(PDA)、家用电器等设备联网交换信息,负责在网络层定义统一的数据分组格式。BNEP将来自不同网络协议(如IEEE802.3.=等各种网络协议)的数据分组重新封装,通过蓝牙逻辑链路控制与适配协议(Logic Link Control&Ad...
BNEP协议
09-19 1588
BNEP English: Bluetooth Networking Encapsulation Protocal  中文: 蓝牙网络封包协议 位置:位于L2CAP 和 PAN 之间 IPv4和IPv6是必要的网络类型,这样"蓝牙网络"才能支持其他主流协议
蓝牙核心技术概述:蓝牙协议规范(irOBEX、BNEP、AVDTP、AVCTP)
Song
03-29 892
原文出处:https://blog.csdn.net/xubin341719/article/details/38335533 作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!) 一、IrDA互操作协议 IrOBEX 红外对象交互协议,简称OBEX,使高层协议同时运作在蓝牙和红外的无线链路之上。 主要操作指令有:连接操作、断开操作、Put操作、Get操作。 1、连接操作 ,...
浅谈Node.js CVE-2017-14849 漏洞分析(详细步骤)
10-19
【Node.js CVE-2017-14849 漏洞分析】 Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行时,它提供了高效的事件驱动、非阻塞 I/O 模型,使得开发高性能的网络应用变得简单。Express,则是建立在 Node.js 平台...
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
CVE-2017-12615-master.zip
09-04
CVE-2017-12615是一个针对Apache Struts2框架的严重安全漏洞,它允许攻击者通过恶意构造的HTTP请求在目标服务器上执行任意代码,从而可能导致数据泄露、系统权限提升甚至整个服务器的完全控制。这个漏洞是由于Struts...
hikvision_CVE-2017-7921配置文件解密.rar
05-20
具体影响产品型号,请参考CVE-...CVE-2017-7922漏洞详情。 该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。 本程序需和配置文件存放在同一目录下运行exe即可配置文件名configurationFile
CVE-2017-7921海康威视配置文件解码(configfile解码)
12-11
具体影响产品型号,请参考CVE-2017-7921;CVE-2017-7922漏洞详情。该程序发布,意在警醒相关单位及时更新相关设备,网络安全需要大家共同监督。(ps:工具不会使用可以私信我,直接差评的一律自理)
蓝牙 官方协议 AVCTP BNEP IrDA MCAP
11-09
Protocol specifications define the protocols that govern communication among devices on Bluetooth wireless networks.
Bluetooth协议学习
重启专家的博客
10-08 2675
Bluetooth协议栈学习
Android Bluetooth蓝牙开发\蓝牙协议\蓝牙通信例子_Android支持蓝牙4.0版本_BLE开发
热门推荐
抢财猫股票课堂
12-31 9万+
一、Android Bluetooth现状 在android官网可以了解到android4.2新增了部分新功能,但是对于BT熟悉的人或许开始头疼了,那就是Android4.2引入了一个新的蓝牙协议栈针。谷歌和Broadcom之间的合作,开发新的蓝牙协议栈,取代了基于堆栈的Bluez。因此市场上出现了老设备的兼容问题,很多蓝牙设备在android4.2手机上不能使用。 New
严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备
最新发布
smellycat000的专栏
12-11 169
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Darkreading 报道称,一个严重的蓝牙漏洞 (CVE-2023-45866) 已存在多年,可能被用于控制安卓、Linux、macOS 和 iOS 设备。该漏洞是认证绕过漏洞,可导致攻击者连接可疑设备并注入击键,实现代码执行后果。在GitHub 五天前发布的文章中,SkySafe 公司的研究员 Marc Newlin 表示该漏洞“诱骗蓝牙主...
android蓝牙通信_Android蓝牙子系统“BlueFrag”漏洞分析CVE20200022)
weixin_39762478的博客
11-27 550
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞背景2020年2月,Android安全公告中披露并修复了一个严重漏洞漏洞编号为CVE-2020-0022,又称BlueFrag,可影响Android蓝牙子系统。该漏洞是一个远程代码执行漏洞,出现在Bluedroid蓝牙协议栈的HCI层,当无线模块处于活动状态时,攻击...
CVE-2020-0022蓝牙漏洞利用
huike008的博客
03-23 2978
漏洞安全影响如下: · 在安卓8.0到9.0系统中,在蓝牙开启的情况下,远程攻击者在一定距离范围内可以以蓝牙守护程序的权限静默执行任意代码。整个过程无需用户交互,只需要知道目标设备的蓝牙MAC地址就可以了。而对一些设备,蓝牙的MAC地址可以通过WiFi MAC地址推算出来。该漏洞可能引发个人数据被窃,或用于传播恶意软件(短距离蠕虫)。 · 在安卓10系统中,该漏洞无法被利用,但可能会引发蓝牙守...
蓝牙核心技术概述(五):蓝牙协议规范(irOBEX、BNEP、AVDTP、AVCTP)
CLK
08-01 5万+
关键词:蓝牙核心技术协议  irDA BNEP  AVDTP AVCTP作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢!)欢迎指正错误,共同学习、共同进步!!下载链接:Bluetooth PROFILE SPECIFICATIONS (基本涵盖所有蓝牙协议)、buletooth core 2.1-4.0 SPECIFICATION(三蓝牙版本的核心协议v2.1\v3.0\v4
Android BlueBorne (CVE-2017-0781)漏洞分析和利用
omnispace的博客
04-18 2103
导语:几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞CVE-2017-0781)的PoC,这个漏洞也叫做BlueBorne。尽管BlueBorne是一组8个漏洞的集合,但是这个PoC只用了其中的2个来实现攻击目的。几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞CVE-2017-0781)的PoC,这个漏洞也叫做Blue...
CVE-2017-12149漏洞分析
05-30
CVE-2017-12149是JBOSS应用服务器中的一个远程代码执行漏洞。JBOSS是一款Java EE应用服务器,该漏洞允许攻击者通过HTTP请求发送恶意的序列化对象,从而在目标服务器上执行任意代码。 这个漏洞的原因在于JBOSS中的HTTP Invoker组件没有正确地验证反序列化的对象。攻击者可以通过HTTP请求发送一个恶意的序列化对象,该对象会被反序列化并在服务器上执行代码。攻击者可以利用这个漏洞完全接管服务器,执行任意代码,包括修改、删除、添加文件等操作。 该漏洞影响JBoss Application Server 5.x、6.x和7.x版本。Red Hat已经发布了相关的安全公告和补丁,建议用户及时更新。 总之,CVE-2017-12149漏洞的危害非常严重,对于使用JBOSS应用服务器的用户来说,需要及时关注并采取措施进行修复和防范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值