БИВСиСС 6

Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

МОДЕЛИРОВАНИЕ АТАК НА BLE

Отчет по лабораторной работе №6

по дисциплине «Безопасность интернета вещей и сенсорных систем»

		Студент гр.
		____________
		Руководитель
		Ст. преподаватель каф. КИБЭВС
		Калинин Е.О.
		____________

Введение

Цель работы: изучение методов анализа взаимодействия беспроводных устройств по интерфейсу Bluetooth Low Energy (BLE). Исследование взаимодействия ближайших BLE-устройств и демонстрация перехвата трафика от них с помощью nRF Sniffer.

1 ХОД РАБОТЫ

Первоочередно была загружена прошивка на плату, что представлено на рисунке 1.1.

Рисунок 1.1 – Загрузка прошивки

Далее была произведена настройка Wireshark для этого была установлена необходимая библиотека, что представлено на рисунке 1.2 – 1.4.

Рисунок 1.2 – Копирование файлов библиотеки

Рисунок 1.3 – Установка библиотеки

Рисунок 1.4 – Проверка установленной библиотеки

Далее была произведена настройка профилей Wireshark для этого необходимо применить скопированный профиль к Wireshark, что представлено на рисунках 1.5 – 1.6.

Рисунок 1.5 – Копирование профилей

Рисунок 1.6 – Установка профиля конфигурации

Для поиска рекламных пакетов в анализаторе трафика Wireshark был применен фильтр отображения btle.advertising_address. Данный фильтр позволил выделить пакеты типа ADV_IND, в полях которых содержится информация об Access Address. Было определено, что устройство использует Access Address = 0x8E89BED6 при рассылке рекламных пакетов, что представлено на рисунке 1.7.

Рисунок 1.7 – Access Address при рассылке рекламных пакетов

В ходе анализа трафика был выделен пакет CONNECT_IND, соответствующий процедуре установления соединения. Установлено, что после отправки запроса на подключение центральное устройство генерирует новый случайный Access Address, который будет использоваться для всех последующих пакетов данных в рамках данного соединения. Анализ пакета CONNECT_IND показал, что Access Address после установления соединения равен 0xA95F321C, что представлено на рисунке 1.8.

Рисунок 1.8 – Access Address после установления соединения

Далее был рассмотрен ответ на запрос SCAN_REQ. Для этого найден ответный пакет SCAN_RSP, представленный на рисунке 1.9.

Анализ ответного пакета SCAN_RSP показывает, что устройство Amazfit GTS2 mini передало в ответ на SCAN_REQ следующие данные:

MAC-адрес (Advertising Address): c7:89:ae:b1:d9:73

Имя устройства: "Amazfit GTS2 mini"

Сервисные данные:

Тип: 16-bit Service Class UUIDs (incomplete)

UUID 16: 0xFE0E (Anhui Huami Information Technology Co., Ltd.)

Рисунок 1.9 – Ответ на запрос SCAN_REQ

Далее был проанализирован пакет с запросом на присоединение CONNECT_IND, представленный на рисунке 1.8. Параметр «Hop» равен 13, это значение определяет шаг псевдослучайной перестройки рабочей частоты при передаче данных между устройствами. Согласно спецификации BLE, допустимый диапазон значения Hop Increment составляет от 5 до 16.

Также были получены UUID сервисов устройства из анализа рекламных пакетов, что представлено на рисунках 1.10 – 1.12.

Рисунок 1.10 – UUID сервиса GAP: Central Address Resolution

Рисунок 1.11 – UUID сервиса Glucose: Glucose Measurement

Рисунок 1.12 – UUID сервиса Glucose: Client Characteristic Configuration

Сервис Glucose относится к передаче данных глюкометра: через характеристику Glucose Measurement он предоставляет результаты измерений, а дескриптор CCCD нужен для включения получения этих данных по подписке, то есть через уведомления или индикации.

Далее, используя фильтр btatt, был осуществлен поиск SMP запросов и ответов. Поскольку в захваченном трафике флаг «Authentication Signature» со значением «False» это указывает указывающий на отсутствие подписи аутентификации в данном конкретном запросе, что представлено на рисунке 1.13

Также в результате анализа трафика пакеты SMP не обнаружены, что представлено на рисунке 1.14. Это указывает на то, что процедура сопряжения и аутентификации не проводилась. Данные передавались в открытом виде, без шифрования и без создания общих секретных ключей.

Рисунок 1.13 – Пакеты протокола ATТ

Рисунок 1.14 – Отсутствие пакетов протокола SMP

Согласно таблице 2.2 из методических указаний, такое соединение соответствует режиму безопасности 1, Уровень 1 – "Отсутствие защиты"

Это означает, что:

• Не используется шифрование сообщений.

• Не используется аутентификация.

• Не используются цифровые подписи.

• Все данные передаются в открытом виде.

Такое поведение характерно для устройств, которые не требуют защиты передаваемых данных или используют собственные механизмы безопасности на прикладном уровне.

Заключение

В ходе выполнения лабораторной работы были изучены методы анализа взаимодействия беспроводных устройств по интерфейсу Bluetooth Low Energy (BLE). Проведено исследование взаимодействия ближайших BLE-устройств и перехват трафика от них с помощью nRF Sniffer и анализатора Wireshark.

Основные результаты:

1. Определено, что при рассылке рекламных пакетов используется стандартный Access Address 0x8E89BED6.

2. Установлено, что после процедуры подключения генерируется новый случайный Access Address 0xA95F321C, который используется для всех последующих пакетов данных в рамках соединения.

3. Выявлено, что устройство Amazfit GTS2 mini в ответ на запрос SCAN_REQ передает свое имя, MAC-адрес и информацию о проприетарном сервисе производителя – UUID 0xFE0E.

4. Определено, что параметр Hop Increment равен 13, что находится в допустимом диапазоне 5-16 и определяет шаг перестройки частоты при FHSS

Томск 2026