viernes, marzo 10, 2017

DirtyTooth Hack: It´s only Rock'n Roll but I like it (V de V)

En esta última entrega de la serie dedicada a DirtyTooth vamos a concluir con alguna información extra sobre lo que hemos hecho, lo que hemos probado y no ha funcionado, lo que podría hacerse, y algo del material generado. También, para la prueba de concepto original trabajamos en dos líneas en paralelo. La primera, la que habéis visto en la parte anterior, construir un hardware completo como os hemos explicado. La segunda, por si fallaba el plan A, con una Raspberry Pi que simulaba un Rogue DirtyTooth Speaker. Esta segunda línea de trabajo os la publicaremos en una serie aparte.

Figura 38: DirtyTooth Hack Parte V

En la lista de cosas que se han quedado en el tintero relacionadas con el ataque de Rogue DirtyTooth Speaker, hay partes relativas al hardware y software que no hemos incluido aún, pero que hemos estado pensando y que completarían el ataque mucho más.

Ampliaciones para el hardware

Como se vio en la parte anterior, para sustituir el módulo BlueTooth original por un DirtyTooth, usamos una tarjeta TeenSy, con una SD Card, un módulo BlueTooth para implementar el PBAP perfil y el módulo GSM/GPRS, pero aún podíamos haber ampliado más el hardware.

Módulo GPS: Localización
Tras hacer la placa de hardware, al haber utilizado una estructura tan grande como la de un altavoz, nos quedó en el tintero haber incluido un placa GPS para controlar la ubicación exacta en la que se encuentra cada uno de los Rogue DirtyTooth Speakers desplegados.  
Uniendo la información que llegara de la placa GPS, más la información de la dirección IP utilizada en la conexión GSM/GRPS, más la potencia de la señal con la que el terminal hace la conexión al Rogue DirtyTooth Speaker, es posible tener información de localización de la víctima constantemente, con lo que se podría saber dónde está la víctima cuando está conectada.
Módulo Microfono: Conversaciones y audio reproducido
Ya que está el hardware desplegado en una oficina, el Rogue DirtyTooth Speaker es un elemento más que idóneo para poder grabar conversaciones o audio reproducido por el altavoz. Al final, grabarlo y enviarlo al backend es algo bastante sencillo de realizar y hay espacio más que de sobra para montar el hardware y el software necesario.
Módulo Wi-Fi: Tráfico sin cifrar y Wardriving
Tal vez se podría añadir un módulo para escanear el espectro WiFi buscando no conectarse a ellas, sino capturar información de forma pasiva. Esto puede ayudar a la localización de los Rogue DirtyTooth Speakers usando bases de datos de Wardriving, pero también a capturar tráfico no cifrado o, lo más importante, localizar dispositivos en la cercanía además de capturar la búsqueda de redes WiFi que cada terminal está realizando cuando tiene activada la conexión inalámbrica.
Con estos módulos estaríamos hablando de un dispositivo de espionaje silencioso que buscaría más información en la ubicación cercana de la víctima.
Modificaciones posibles en el software

En cuanto al software del sistema, en el ejemplo que hemos realizado el dispositivo pasaba de ofrecer un perfil A2DP a ser un PBAP para acceder a los datos, pero una vez transferidos los datos puede volver a ser un dispositivo A2DP, haciendo para los usuarios prácticamente indetectable el ataque, ya que serían solo unos segundos los que se estaría comportando como un PBAP para transferir los datos.

Figura 40: El perfil HFP permite a las apps interrumpir el uso del audio

Otra parte importante del ataque es que existen muchos otros perfiles BlueTooth a los que podría mutar el Rogue DirtyTooth Speaker, pasando a usar alguno que permitiera modificar los contactos en la agenda del móvil o encaminar las llamadas a través del altavoz y grabarlas. Con el perfil de PBAP no hemos sido capaces de grabar nuevos contactos o modificar los existentes en el terminal iPhone, pero hay que probar más perfiles de los disponibles y ver cuál es el comportamiento de iOS ante ellos.

Figura 41: Algunos de los perfiles BlueTooth existentes.

Si se puede modificar el número de contacto,  también se podría utilizar una centralita de comunicaciones que encamine la llamada al terminal correcto, pero con una estructura de man in the middle lo que le permite al atacante grabar la conversación en la centralita.

Figura 42: Desde un dispositivo con MAP se puede usar el iPhone para enviar SMSs

Además de las opciones que permitan cada uno de los perfiles, hay que tener en cuenta que algunos de ellos tienen configuraciones diferentes. Por ejemplo, con el Message Access Profile se podría forzar al terminal iPhone a enviar o recibir mensajes SMS desde el terminal, algo que puedes ver desde equipos Windows.

Por último, como mejora, se podría ampliar el post-procesado de los datos en el backend por medio de técnicas OSINT. Para la prueba de concepto, utilizamos el correo electrónico y el número de teléfono para buscar información de la cuenta en Facebook, pero también sirve para buscar datos de los contactos de la agenda en otras redes sociales.

Al final, con los datos de un contacto en formato VCard 2.1 se puede sacar información más que suficiente para expandir el conocimiento que se puede obtener del círculo social de la víctima. Nombres de empresas, URLs, notas en los contactos, etcétera, pueden ser utilizados de muchas maneras diferentes para generar más información.

El WhitePaper y las diapositivas

Como sabéis, hemos publicado una pequeña web que resume el concepto principal del DirtyTooth Hack. En ella podéis acceder a un enlace hacia el whitepaper que hemos escrito. Lo tenéis publicado en SlideShare y yo os lo dejo aquí mismo para que lo podáis leer o descargar.


Y, por si alguno las quiere, he dejado subidas las diapositivas de la charla que impartí en la RootedCON 2017 en formato PDF, con un resumen de todo lo publicado en este artículo tan largo de cinco partes.


Versiones probadas

Este hack se aprovecha de funciones de usabilidad en iOS que están disponibles en los terminales iPhone que van desde la versión de iPhone 3G hasta la versión de iPhone 7 y en versiones del sistema operativo iOS hasta la 10.2.1. Es decir, todas las disponibles a día a de hoy. Cuando salga la nueva versión probaremos a ver si el comportamiento sigue siendo similar y os avisaremos.

Por último, quiero felicitar y dar las gracias a todos los compañeros que se involucraron en esta idea loca desde el primer momento en que se la conté. No hay nada como contarles un nuevo hack y tenerlos activos como motos. Jorge Rivera y su arte con la manipulación del hardware, Alvaro Nuñez-Romero y sus pruebas con la Raspberry Pi y la edición artística de vídeos, Ioseaba Palop y la construcción del backend, y Pablo González en la coordinación y la preparación de los materiales. Grandes todos ellos.

Saludos Malignos!

*********************************************************************************
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (I de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (II de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (III de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (IV de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (V de V)
- DirtyTooth Hack: Reemplazar el módulo Bluetooth en Marshall Killburn
*********************************************************************************

3 comentarios:

Chema Martínez dijo...

Buenos días Chema, lo primero excelente trabajo de todo vuestro equipo plasmado en estos 5 artículos. Después de leerlos y ver lo que se puede hacer y oír las últimas noticias sobre filtraciones de aplicaciones de hacking de la agencia americana, me surgen dudas, primero si dais credibilidad a la información de wikileaks y segundo en nuestra vida digital prácticamente es imposible no tener una brecha de seguridad debido a la cantidad de dispositivos y/o aplicaciones que manejamos, por lo que no se cómo el usuario, llamémoslo «normal» no avanzado se puede proteger, por ejemplo pienso en mis padres, hermanos o amigos. Estaría bien un monográfico de seguridad para este perfil de usuario. Un saludo, Chema Martínez

Isaac Calvo Amat dijo...

¿En serio me tengo que registrar en linkedin para bajarme un PDF? Por cierto, el link a www.dirtytooth.com no funciona... Le sobran las 3 www del principio... Saludos...

Isaac Calvo Amat dijo...

Ah, otra cosa, excelente trabajo y muchas gracias por compartirlo... :)

Entrada destacada

Aura y su negocio oculto para conquistar el mundo

Ya estoy de regreso en Madrid , y mientras todavía continúa el eco de la presentación de Aura y la Cuarta Plataforma , he decidido tomarme ...

Entradas populares