“手機(jī)+可穿戴設(shè)備”的低功耗藍(lán)牙安全實(shí)驗(yàn)技術(shù)

梁 敏，胡曦明,2*，李 鵬,2，馬 苗,2

(1.陜西師范大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，陜西 西安 710119； 2.現(xiàn)代教學(xué)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710119)

0 引 言

從20世紀(jì)60年代可穿戴概念的提出，到2012年面向個(gè)人消費(fèi)市場(chǎng)的首款智能可穿戴設(shè)備Google glass正式發(fā)布，再到近年來(lái)快速滲透到生物醫(yī)學(xué)、健康管理、智慧教育、體育運(yùn)動(dòng)等社會(huì)生產(chǎn)生活的各個(gè)領(lǐng)域，可穿戴設(shè)備發(fā)展進(jìn)程前階段長(zhǎng)時(shí)間的寂靜冷清與現(xiàn)階段短時(shí)間內(nèi)井噴爆發(fā)形成了鮮明對(duì)比。這背后的決定性因素在于近年來(lái)可穿戴技術(shù)在生物傳感、網(wǎng)絡(luò)通信和低功耗管理等方面取得的突破性進(jìn)展，其中作為關(guān)鍵性技術(shù)之一的低功耗藍(lán)牙BLE(Bluetooth low energy)[1]由于可以有效實(shí)現(xiàn)高密度小微傳感器之間的長(zhǎng)時(shí)間短距離無(wú)線通信而成為技術(shù)與市場(chǎng)共同關(guān)注的熱點(diǎn)[2]。在此驅(qū)動(dòng)下，國(guó)內(nèi)多所高校重點(diǎn)針對(duì)藍(lán)牙通信開(kāi)展了積極的實(shí)驗(yàn)教學(xué)改革與探索，例如：哈爾濱工程大學(xué)控制工程實(shí)驗(yàn)中心馬忠麗提出基于藍(lán)牙數(shù)據(jù)無(wú)線傳輸實(shí)驗(yàn)系統(tǒng)開(kāi)展實(shí)驗(yàn)教學(xué)的方法[3]；東華大學(xué)倪林將基于物聯(lián)網(wǎng)的短距無(wú)線通信技術(shù)系統(tǒng)引入實(shí)驗(yàn)教學(xué)[4]；華東師范大學(xué)的高明華提出基于App Inventor在線開(kāi)發(fā)系統(tǒng)的藍(lán)牙通信實(shí)驗(yàn)教學(xué)方法[5]。

如今，基于移動(dòng)云交換的可穿戴系統(tǒng)為“云時(shí)代”的發(fā)展開(kāi)辟了新思路[6]，隨著智能可穿戴設(shè)備進(jìn)一步融入到生理、支付、生活軌跡等個(gè)人隱私活動(dòng)中[7]，針對(duì)低功耗藍(lán)牙的安全性開(kāi)展實(shí)驗(yàn)教學(xué)改革的重要性和緊迫性更加突顯。西北工業(yè)大學(xué)王靜將小米手環(huán)和支付寶相結(jié)合進(jìn)行可穿戴設(shè)備免密支付的安全性研究，對(duì)可穿戴設(shè)備的支付環(huán)境進(jìn)行了安全性評(píng)估[8]；國(guó)防科技大學(xué)劉強(qiáng)圍繞可穿戴設(shè)備的數(shù)據(jù)安全和隱私保護(hù)，以可穿戴健康跟蹤設(shè)備Fitbit為研究對(duì)象開(kāi)展安全與隱私實(shí)例分析[9]；西安電子科技大學(xué)劉晴晴剖析了手環(huán)和智能家居面臨的安全威脅[10]。可以看到，當(dāng)前的研究進(jìn)展多停留在實(shí)例講授、行為管理、安全評(píng)估等零散的安全性理論分析層面，缺乏在低功耗藍(lán)牙協(xié)議層面上開(kāi)展攻擊與防御的整套實(shí)驗(yàn)技術(shù)。在國(guó)家一流本科課程改革[11]和“新工科”建設(shè)背景下[12]，面向未來(lái)新一代移動(dòng)應(yīng)用對(duì)高素質(zhì)復(fù)合型創(chuàng)新人才培養(yǎng)需求，低功耗藍(lán)牙協(xié)議安全實(shí)驗(yàn)技術(shù)與教學(xué)應(yīng)用成為亟待研究的重要課題。

1 低功耗藍(lán)牙協(xié)議工作原理與安全性分析

1.1 工作原理

低功耗藍(lán)牙協(xié)議制定了通信方之間的標(biāo)準(zhǔn)化數(shù)據(jù)交互格式與交互流程，由藍(lán)牙4.0技術(shù)規(guī)范和CSR Mesh協(xié)議等一系列標(biāo)準(zhǔn)具體定義[13]。雖然相關(guān)協(xié)議和標(biāo)準(zhǔn)持續(xù)更新[14]，但協(xié)議體系結(jié)構(gòu)相對(duì)穩(wěn)定，從上至下分別是應(yīng)用層、主機(jī)層和控制器層。

從協(xié)議功能上看，主機(jī)層既負(fù)責(zé)為應(yīng)用層提供網(wǎng)絡(luò)傳輸服務(wù)和通信安全保障，又負(fù)責(zé)對(duì)控制器層收發(fā)藍(lán)牙信號(hào)進(jìn)行邏輯鏈路控制、報(bào)文解封裝與封裝和密鑰管理等操作。從協(xié)議結(jié)構(gòu)上看，主機(jī)層又可進(jìn)一步劃分為通用訪問(wèn)協(xié)議GAP(generic access profile)、通用屬性規(guī)范GATT(generic attribute profile)、屬性協(xié)議ATT(attribute protocol)等協(xié)議子板塊。

其中，通用屬性規(guī)范GATT是實(shí)現(xiàn)低功耗藍(lán)牙通信的基礎(chǔ)和支撐，負(fù)責(zé)將服務(wù)器端的原始數(shù)據(jù)結(jié)構(gòu)化形成“特性—服務(wù)—規(guī)范”三層嵌套的數(shù)據(jù)格式，從而為整個(gè)通信過(guò)程提供通用的信息存儲(chǔ)和共享功能，如圖1所示。

圖1 低功耗藍(lán)牙協(xié)議工作原理

特性(characteristic)是組織數(shù)據(jù)的基本結(jié)構(gòu)，采用通用唯一識(shí)別碼UUID(universally unique identifier)作為數(shù)據(jù)結(jié)構(gòu)的標(biāo)識(shí)，數(shù)據(jù)結(jié)構(gòu)本身由特性值(value)、句柄(handle)和描述符(descriptor)構(gòu)成，是通信讀寫(xiě)操作的基本對(duì)象。服務(wù)(service)是面向功能來(lái)組織的一組特性及其相關(guān)的行為規(guī)范，以人類可讀的形式定義設(shè)備間讀寫(xiě)等操作過(guò)程。規(guī)范(profile)是一組預(yù)先定義的服務(wù)的集合，是應(yīng)用的最終體現(xiàn)。

低功耗藍(lán)牙通信的客戶端和服務(wù)器端基于GATT給出的特性進(jìn)行數(shù)據(jù)傳輸，相互之間讀寫(xiě)操作包括請(qǐng)求、響應(yīng)、通知、命令、指示和確認(rèn)等六種類型，具體由GATT定義。整個(gè)通信過(guò)程的訪問(wèn)權(quán)限由服務(wù)器端負(fù)責(zé)管理。

1.2 安全威脅

安全問(wèn)題是大規(guī)模可穿戴設(shè)備部署面臨的最大障礙之一[15]。2016年爆發(fā)的Mirai惡意軟件正是基于物聯(lián)網(wǎng)設(shè)備的漏洞形成大型僵尸網(wǎng)絡(luò)并廣泛傳播,嚴(yán)重威脅到可穿戴設(shè)備的使用[16]，谷歌恒溫器和耐克運(yùn)動(dòng)手環(huán)均被研究者證實(shí)存在信息安全隱患[17]。由此可見(jiàn)，可穿戴設(shè)備的安全問(wèn)題不容小覷。在基礎(chǔ)層面看來(lái)，可將可穿戴設(shè)備所面臨的安全風(fēng)險(xiǎn)分為設(shè)備數(shù)據(jù)安全、系統(tǒng)和應(yīng)用軟件安全以及傳輸安全三個(gè)方面。

(1)設(shè)備安全。

可穿戴設(shè)備為了提高續(xù)航時(shí)間，通常降低低功耗藍(lán)牙服務(wù)器端的輸入權(quán)限檢查等級(jí)甚至取消安全保護(hù)機(jī)制，僅在手機(jī)等客戶端部署安全保護(hù)機(jī)制，從而使得可穿戴設(shè)備運(yùn)行過(guò)程中無(wú)法檢查輸入數(shù)據(jù)的合法性，惡意攻擊者可在用戶未授權(quán)的情況下，非法入侵設(shè)備欺騙用戶生理數(shù)據(jù)信息，對(duì)用戶進(jìn)行實(shí)時(shí)非法監(jiān)控，威脅用戶的個(gè)人隱私安全和身心健康。

(2)系統(tǒng)和應(yīng)用軟件安全。

可穿戴設(shè)備通常與手機(jī)上的對(duì)應(yīng)官方軟件搭配使用，當(dāng)手機(jī)的應(yīng)用軟件存在漏洞時(shí)，可穿戴設(shè)備同樣受到信息安全威脅。例如，惡意攻擊者可以通過(guò)對(duì)智能手環(huán)官方應(yīng)用軟件進(jìn)行Android逆向工程和Hook攻擊，挖掘可穿戴設(shè)備與應(yīng)用軟件交互過(guò)程的數(shù)據(jù)信息和讀寫(xiě)漏洞，實(shí)施對(duì)智能手環(huán)的數(shù)據(jù)竊取和篡改。

(3)傳輸安全。

可穿戴設(shè)備通過(guò)低功耗藍(lán)牙技術(shù)與手機(jī)通信時(shí)，一般采用明文傳輸?shù)姆绞剑⑶曳?wù)器端安全校驗(yàn)?zāi)芰θ酢⒃O(shè)備識(shí)別碼易被截取、授權(quán)管理不嚴(yán)，在簡(jiǎn)化傳輸過(guò)程的同時(shí)也帶來(lái)了身份標(biāo)識(shí)被盜取和數(shù)據(jù)泄露的安全威脅。另外，由于可穿戴設(shè)備采取間歇性運(yùn)行的工作模式，只能依靠設(shè)備自身的硬件升級(jí)和算法改進(jìn)保障通信安全，存在一定安全隱患。

2 基于“手機(jī)+可穿戴設(shè)備”的新型實(shí)驗(yàn)技術(shù)

2.1 總體設(shè)計(jì)

(1)實(shí)驗(yàn)環(huán)境搭建。

總體上，采用模塊化的系統(tǒng)設(shè)計(jì)思路，基于“手機(jī)+可穿戴設(shè)備”的方法配置低功耗藍(lán)牙安全實(shí)驗(yàn)環(huán)境，具體分為可視化分析模塊、數(shù)據(jù)采集和測(cè)量模塊以及數(shù)據(jù)通信模塊，如圖2所示。

圖2 基于“手機(jī)+可穿戴設(shè)備”的

數(shù)據(jù)通信模塊中的可穿戴設(shè)備與數(shù)據(jù)采集和測(cè)量模塊中的手機(jī)通過(guò)低功耗藍(lán)牙進(jìn)行交互，雙方設(shè)備的交互數(shù)據(jù)由數(shù)據(jù)采集與測(cè)量模塊實(shí)時(shí)記錄，并以機(jī)器特定的日志文件類型保存在手機(jī)中。可視化分析模塊對(duì)數(shù)據(jù)采集和測(cè)量模塊記錄的交互數(shù)據(jù)進(jìn)行可視化處理，將日志文件解碼為人類可讀的報(bào)文格式。模塊化的實(shí)驗(yàn)環(huán)境設(shè)計(jì)可根據(jù)低功耗藍(lán)牙協(xié)議攻擊、防御的安全性實(shí)驗(yàn)需求進(jìn)行橫向和縱向擴(kuò)展，具有靈活、便捷和可操作性強(qiáng)的特點(diǎn)。

(2)實(shí)驗(yàn)流程設(shè)計(jì)。

基于手機(jī)和可穿戴設(shè)備搭建實(shí)驗(yàn)環(huán)境，開(kāi)展低功耗藍(lán)牙協(xié)議分析和安全性實(shí)驗(yàn)，實(shí)驗(yàn)總體流程如圖3所示。

圖3 實(shí)驗(yàn)流程設(shè)計(jì)

首先，通過(guò)協(xié)議分析實(shí)驗(yàn)解讀低功耗藍(lán)牙協(xié)議的語(yǔ)義、語(yǔ)法和時(shí)序等信息，安全性實(shí)驗(yàn)基于協(xié)議分析的結(jié)果，向可穿戴設(shè)備發(fā)起數(shù)據(jù)重放攻擊并進(jìn)行防御方法探究。其次，將協(xié)議分析實(shí)驗(yàn)和安全性實(shí)驗(yàn)進(jìn)行可視化處理，借助可視化工具進(jìn)行抓包分析、數(shù)據(jù)提取和數(shù)據(jù)解碼，利用實(shí)際報(bào)文測(cè)試實(shí)驗(yàn)項(xiàng)目，最后對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行總結(jié)歸納。

2.2 關(guān)鍵技術(shù)

(1)協(xié)議測(cè)量。

對(duì)低功耗藍(lán)牙協(xié)議嗅探和測(cè)量，仍是當(dāng)前實(shí)驗(yàn)的技術(shù)難點(diǎn)。通常藍(lán)牙通信模塊基于數(shù)據(jù)包的訪問(wèn)碼自動(dòng)進(jìn)行過(guò)濾[18]，由于過(guò)濾行為發(fā)生在底層的硬件層面，單純采用上層軟件抓包的方法難以獲取到報(bào)文，必須采用“硬件+軟件”的方法予以解決。目前可行的低功耗藍(lán)牙協(xié)議測(cè)量方法分為兩種主要的技術(shù)與方法：一是基于專業(yè)設(shè)備的傳統(tǒng)協(xié)議測(cè)量方法，常用的設(shè)備有EN-dongle與Ubertooth one平臺(tái)；二是基于手機(jī)的協(xié)議測(cè)量方法，主要工具包括btsnoop_hci.log日志和Xposed模塊。從性能對(duì)比來(lái)看，基于專用設(shè)備的方法具有可視化程度高和專業(yè)性強(qiáng)的優(yōu)點(diǎn)，但因依賴專用硬件和PC端而存在便攜性差和成本高等缺點(diǎn)；基于智能手機(jī)的測(cè)量方法解除了硬件設(shè)備限制，適用于面向大規(guī)模學(xué)生開(kāi)展理論與實(shí)踐相結(jié)合的自主性、探究性實(shí)驗(yàn)，可視化效果和測(cè)量精度通夠達(dá)到實(shí)驗(yàn)教學(xué)的要求。

為此，該文提出基于手機(jī)的協(xié)議測(cè)量技術(shù)，采用“btsnoop_hci.log日志+Xposed模塊”的方法，相比基于EN-dongle等專用設(shè)備的傳統(tǒng)協(xié)議測(cè)量技術(shù)更加便捷、靈活且成本更低，同時(shí)支持學(xué)生隨時(shí)隨地自主開(kāi)展探究性實(shí)驗(yàn)。

btsnoop_hci.log日志是Android系統(tǒng)為開(kāi)發(fā)人員提供的低功耗藍(lán)牙調(diào)試文件，其中記錄了低功耗藍(lán)牙通信過(guò)程中的所有數(shù)據(jù)報(bào)文，支持對(duì)低功耗藍(lán)牙的通信機(jī)制進(jìn)行詳細(xì)分析。Xposed是Android系統(tǒng)中進(jìn)行深度控制和安全性測(cè)試的框架服務(wù)程序，其中的MX藍(lán)牙抓包模塊支持對(duì)低功耗藍(lán)牙數(shù)據(jù)通信過(guò)程進(jìn)行實(shí)時(shí)監(jiān)測(cè)。在進(jìn)行藍(lán)牙協(xié)議測(cè)量時(shí)，為實(shí)時(shí)監(jiān)測(cè)并詳細(xì)記錄通信雙方的交互內(nèi)容，通常將兩種方法結(jié)合使用，具體實(shí)現(xiàn)大致分為三個(gè)步驟：①通過(guò)MX藍(lán)牙抓包模塊可實(shí)現(xiàn)對(duì)當(dāng)前手機(jī)上運(yùn)行的低功耗藍(lán)牙通信進(jìn)程進(jìn)行實(shí)時(shí)的數(shù)據(jù)采集；②對(duì)具體命令進(jìn)行定位，從而獲取目標(biāo)功能對(duì)應(yīng)特性的UUID和寫(xiě)入值；③將記錄了整個(gè)過(guò)程的btsnoop_hci.log日志導(dǎo)入可視化工具，利用獲取的特性UUID值進(jìn)行目標(biāo)篩選，從而實(shí)現(xiàn)從btsnoop_hci.log日志記錄的大量無(wú)關(guān)報(bào)文中對(duì)低功耗藍(lán)牙報(bào)文的逐個(gè)精準(zhǔn)測(cè)量。

(2)可視化分析。

手機(jī)中的btsnoop_hci.log日志是以機(jī)器可讀的特定格式來(lái)記錄低功耗藍(lán)牙數(shù)據(jù)，只能通過(guò)可視化分析工具進(jìn)行語(yǔ)義解析才能將其翻譯為人類可讀的協(xié)議報(bào)文。該文經(jīng)實(shí)驗(yàn)發(fā)現(xiàn)適用于低功耗藍(lán)牙協(xié)議可視化分析的工具有Wireshark、CPAS和hcidump。

Wireshark可以從btsnoop_hci.log日志中解析出低功耗藍(lán)牙報(bào)文，解析結(jié)果僅以嵌套的形式表示協(xié)議封裝關(guān)系，保留識(shí)別碼和數(shù)據(jù)組織格式等具體參數(shù)，適于分析設(shè)備雙方的讀寫(xiě)流程并解讀設(shè)備的讀寫(xiě)數(shù)值。CPAS(ComProbe protocol analysis system)是Frontline公司提供的藍(lán)牙協(xié)議分析軟件，其可以將btsnoop_hci.log日志解碼為可讀性更強(qiáng)的樹(shù)狀結(jié)構(gòu)，但解碼結(jié)果中不包含識(shí)別碼等參數(shù)，因此無(wú)法獲得具體讀寫(xiě)內(nèi)容，僅適于粗略分析通信流程。hcidump是Kali系統(tǒng)自帶的低功耗藍(lán)牙抓包工具，通過(guò)終端命令行進(jìn)行操控，結(jié)果顯示可讀性較差，適用于對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行補(bǔ)充性分析。

3 低功耗藍(lán)牙安全實(shí)驗(yàn)與教學(xué)應(yīng)用

3.1 協(xié)議安全性分析實(shí)驗(yàn)

行走步數(shù)記錄和鬧鐘提醒是手環(huán)的基礎(chǔ)功能，分別對(duì)應(yīng)低功耗藍(lán)牙協(xié)議中的通知、寫(xiě)請(qǐng)求和寫(xiě)響應(yīng)等傳輸模式。本實(shí)驗(yàn)選取步數(shù)記錄功能和鬧鐘設(shè)置功能的具體交互過(guò)程作為研究對(duì)象，通過(guò)測(cè)量上述傳輸模式的協(xié)議報(bào)文并解析其安全性，為低功耗藍(lán)牙的攻擊與防御提供實(shí)驗(yàn)基礎(chǔ)。

3.1.1 配置與操作

(1)實(shí)驗(yàn)環(huán)境配置。

①手機(jī)獲取Root權(quán)限；

②下載XposedInstaller應(yīng)用后安裝Xposed框架；

③手機(jī)安裝嗅探工具M(jìn)X藍(lán)牙抓包模塊；

④PC端安裝協(xié)議分析儀器Wireshark,CAPS。

(2)實(shí)驗(yàn)設(shè)備操作。

對(duì)照低功耗藍(lán)牙通信機(jī)制(如圖1所示)，服務(wù)器端與客戶端通過(guò)六種基本操作進(jìn)行數(shù)據(jù)交互，實(shí)現(xiàn)相應(yīng)功能。針對(duì)客戶端與服務(wù)器端之間的數(shù)據(jù)交互，選取手環(huán)的鬧鐘設(shè)置和行走步數(shù)記錄兩個(gè)功能為實(shí)驗(yàn)研究對(duì)象，采用“btsnoop_hci.log日志+Xposed模塊”的協(xié)議測(cè)量方法對(duì)兩者分別進(jìn)行實(shí)驗(yàn)，解讀語(yǔ)義、語(yǔ)法和時(shí)序等設(shè)備通信配置信息，設(shè)備配置操作具體步驟如圖4所示。

圖4 設(shè)備配置操作的具體步驟

3.1.2 測(cè)量與分析

(1)步數(shù)報(bào)告。

通過(guò)佩戴手環(huán)行走測(cè)試發(fā)現(xiàn)，手環(huán)向手機(jī)傳輸步數(shù)信息時(shí)，根據(jù)Xposed模塊MX藍(lán)牙抓包模塊所顯示的字段可知，此時(shí)手環(huán)先后分別以通知的形式向手機(jī)中UUID值為0000ff06的特性傳輸8位步數(shù)值信息代碼2a000000、2b000000和2c000000。為進(jìn)一步解讀低功耗藍(lán)牙的通信機(jī)制，將btsnoop_hci.log日志導(dǎo)入Wireshark中，找出上述過(guò)程對(duì)應(yīng)的實(shí)際報(bào)文，結(jié)果如圖5所示。

圖5 步數(shù)報(bào)告關(guān)鍵報(bào)文

由圖5可知，手環(huán)具體采用句柄值通知(handle value notification)的方式向手機(jī)傳輸步數(shù)信息。句柄值通知是保證客戶端及時(shí)接收屬性狀態(tài)更新信息的重要機(jī)制，當(dāng)服務(wù)器端的屬性狀態(tài)更新結(jié)束后，可以在任意時(shí)刻主動(dòng)發(fā)送該通知，并且不要求客戶端返回響應(yīng)報(bào)文，適用于對(duì)信息時(shí)效性有一定要求的傳輸場(chǎng)景。值(value)是步數(shù)信息的表示代碼，由8位十六進(jìn)制數(shù)組成，非零部分是當(dāng)前步數(shù)值，當(dāng)值為“2b000000”時(shí)，對(duì)應(yīng)手環(huán)所記錄的用戶行走步數(shù)為43步。

(2)鬧鐘設(shè)置。

在手機(jī)端打開(kāi)鬧鐘提醒模式，在手機(jī)端設(shè)置手環(huán)于每天的19:34按時(shí)震動(dòng)，此時(shí)從MX藍(lán)牙抓包模塊顯示字段可知，手機(jī)以寫(xiě)請(qǐng)求的形式向手環(huán)中UUID值為0000ff05的特性寫(xiě)入22位鬧鐘設(shè)置信息代碼040101140211132211007f。為進(jìn)一步解析其中的傳輸控制細(xì)節(jié)和具體含義，將此時(shí)生成的btsnoop_hci.log日志導(dǎo)入Wireshark，篩選出步數(shù)信息傳輸?shù)膶?shí)際報(bào)文，結(jié)果如圖6所示。

圖6 鬧鐘設(shè)置協(xié)議報(bào)文解析

通過(guò)實(shí)際操作反饋并且結(jié)合圖6協(xié)議報(bào)文解析結(jié)果可知，用戶在手機(jī)端設(shè)置鬧鐘提醒后，手機(jī)向手環(huán)發(fā)送攜帶鬧鐘設(shè)置信息的寫(xiě)請(qǐng)求，向句柄0x001b寫(xiě)入值“040101140211132211007f”，其中“132211”由高到低依次表示十六進(jìn)制計(jì)數(shù)的時(shí)鐘、分鐘和秒鐘，轉(zhuǎn)換成十進(jìn)制可得鬧鐘設(shè)置提醒時(shí)間為19:34:17，對(duì)應(yīng)設(shè)備操作部分的19:34提醒配置。當(dāng)手環(huán)接收寫(xiě)請(qǐng)求并修改對(duì)應(yīng)特性值后，向手機(jī)返回對(duì)句柄0x001b的寫(xiě)響應(yīng)，寫(xiě)響應(yīng)不含任何數(shù)值，僅用于流控，一旦手機(jī)收到了確認(rèn)信息，它便能確定手環(huán)收到了攜帶鬧鐘設(shè)置信息的寫(xiě)請(qǐng)求。

3.2 重放攻擊與防御實(shí)驗(yàn)

從以上實(shí)驗(yàn)結(jié)果可以看到，手環(huán)與手機(jī)之間采用明文方式進(jìn)行數(shù)據(jù)傳輸，用戶數(shù)值信息易被第三方設(shè)備探測(cè)并解析，這是進(jìn)一步開(kāi)展攻擊與防御實(shí)驗(yàn)的基礎(chǔ)，以下以重放攻擊為例展開(kāi)實(shí)驗(yàn)。

3.2.1 操作與配置

本實(shí)驗(yàn)設(shè)計(jì)通過(guò)配置藍(lán)牙適配器的PC機(jī)作為攻擊端，向周圍存在的手環(huán)發(fā)起重放攻擊并探討防御措施，PC機(jī)連接藍(lán)牙適配器并安裝Kali系統(tǒng)，通過(guò)Kali系統(tǒng)的嗅探工具h(yuǎn)cidump監(jiān)聽(tīng)低功耗藍(lán)牙協(xié)議報(bào)文，再利用Kali系統(tǒng)的低功耗藍(lán)牙調(diào)試工具gatttool發(fā)送偽造報(bào)文從而實(shí)現(xiàn)重放攻擊。整個(gè)攻擊過(guò)程中，hcidump實(shí)時(shí)監(jiān)聽(tīng)藍(lán)牙適配器接口，從而實(shí)現(xiàn)對(duì)實(shí)驗(yàn)數(shù)據(jù)測(cè)量和可視化分析，實(shí)驗(yàn)拓?fù)淙鐖D7所示，圖中設(shè)備地址均為藍(lán)牙地址。

圖7 重放攻擊實(shí)驗(yàn)拓?fù)?/p>

3.2.2 測(cè)試與分析

重放攻擊就是偽造竊聽(tīng)到的報(bào)文，再重新發(fā)送給數(shù)據(jù)接收方，擾亂接收方正常工作，進(jìn)而破解設(shè)備的數(shù)據(jù)保護(hù)機(jī)制。數(shù)據(jù)的嗅探和解讀是重放攻擊的基礎(chǔ)，在數(shù)據(jù)未加密的情況下，攻擊者可直接讀取截獲到的報(bào)文中顯示的配置信息向設(shè)備發(fā)起重放攻擊，具體實(shí)驗(yàn)劃分為三個(gè)步驟：①對(duì)正常通信部分的關(guān)鍵報(bào)文進(jìn)行解讀，獲取消息提醒功能實(shí)現(xiàn)的數(shù)據(jù)配置信息；②利用gatttool向手環(huán)重新輸入對(duì)應(yīng)命令，觀察其是否與正常通信時(shí)的現(xiàn)象相吻合；③最后對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析，提出防御措施。

圖8 重放攻擊過(guò)程可視化

(1)正常通信。

重放攻擊前，在手機(jī)應(yīng)用中打開(kāi)手環(huán)消息接收設(shè)置，手機(jī)接收到其他應(yīng)用的消息提醒后，手環(huán)隨即開(kāi)啟震動(dòng)模式提醒用戶。上述過(guò)程實(shí)際關(guān)鍵報(bào)文如圖8所示，句柄0x0053對(duì)應(yīng)的特性控制手環(huán)的震動(dòng)模式，數(shù)值03為震動(dòng)程度值，向句柄0x0053寫(xiě)入數(shù)值03即可使手環(huán)震動(dòng)。

(2)重放攻擊。

首先在kali終端打開(kāi)抓包工具打開(kāi)抓包工hcidump，具體命令hcidump；然后選中目標(biāo)進(jìn)行連接，使用低功耗藍(lán)牙調(diào)試工具gatttool連接被攻擊手環(huán)，具體命令：gatttool -b C8:0F:10:92:A7:AE -I；最后，向目標(biāo)設(shè)備發(fā)起重放攻擊，更改震動(dòng)功能對(duì)應(yīng)特性值，具體命令：char-write-cmd 0x0053 0300。

打開(kāi)hcidump運(yùn)行窗口查看藍(lán)牙接口的報(bào)文收發(fā)記錄，如圖9所示。

圖9 hcidump抓包記錄

可知PC機(jī)采用寫(xiě)命令的方式向手環(huán)發(fā)送了向句柄0x0053寫(xiě)入新值的命令，此時(shí)手環(huán)震動(dòng)，重放攻擊成功。

(3)攻擊結(jié)果分析。

如圖8所示，手機(jī)接收到消息后，通過(guò)向手環(huán)的句柄0x0053寫(xiě)入值“03”觸發(fā)該手環(huán)震動(dòng)。隨后攻擊端PC機(jī)偽造該過(guò)程，利用低功耗藍(lán)牙調(diào)試工具gatttool中的“char-write-cmd”命令，將手環(huán)的句柄0x0053對(duì)應(yīng)的屬性值修改為0300，達(dá)到手環(huán)非正常震動(dòng)的攻擊效果。通過(guò)對(duì)正常通信過(guò)程與重放攻擊過(guò)程的關(guān)鍵報(bào)文對(duì)比可知，手環(huán)的通信系統(tǒng)不使用數(shù)據(jù)加密保護(hù)機(jī)制，攻擊者可通過(guò)截獲到的關(guān)鍵報(bào)文直接獲得手環(huán)內(nèi)部功能的配置信息，對(duì)手環(huán)發(fā)起重放攻擊，危害手環(huán)的正常運(yùn)行。

3.2.3 攻擊防御

分析重放攻擊實(shí)驗(yàn)過(guò)程發(fā)現(xiàn)，攻擊者可從手環(huán)與手機(jī)間的通信報(bào)文中解讀出用戶的個(gè)人數(shù)據(jù)信息，實(shí)施對(duì)手環(huán)的信息竊取、報(bào)文偽造和數(shù)據(jù)篡改。針對(duì)實(shí)驗(yàn)中可穿戴設(shè)備所暴露的安全威脅，提出以下防御方法。

(1)將可穿戴設(shè)備與可信任的手機(jī)進(jìn)行綁定，從通信源頭保證信道的安全性和可靠性。作為用戶，為保證個(gè)人信息安全，在進(jìn)行藍(lán)牙連接時(shí)謹(jǐn)慎確認(rèn)所連接的對(duì)象是否合法，并在不使用設(shè)備時(shí)有意識(shí)關(guān)閉藍(lán)牙功能。

(2)開(kāi)啟手機(jī)防火墻。在手機(jī)端開(kāi)啟防火墻模式可有效阻止惡意攻擊者的滲透侵入，從而保護(hù)應(yīng)用中的用戶個(gè)人數(shù)據(jù)和可穿戴設(shè)備配置信息，防止攻擊者利用竊取到的關(guān)鍵數(shù)據(jù)發(fā)起攻擊。

(3)開(kāi)啟加密保護(hù)措施。低功耗藍(lán)牙設(shè)備與手機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)，可通過(guò)密鑰鑒別待連接設(shè)備的合法性，對(duì)通信數(shù)據(jù)進(jìn)行加密保護(hù)。

在實(shí)驗(yàn)教學(xué)中進(jìn)行防御下的重放攻擊驗(yàn)證實(shí)驗(yàn)，學(xué)生可借助藍(lán)牙掃描工具識(shí)別出潛在的非法設(shè)備，當(dāng)非法設(shè)備進(jìn)行攻擊時(shí)手動(dòng)斷開(kāi)藍(lán)牙連接，并查看此時(shí)的數(shù)據(jù)報(bào)文交互過(guò)程，如報(bào)文顯示連接失敗，即可驗(yàn)證該方法可有效防御攻擊。

4 結(jié)束語(yǔ)

可穿戴設(shè)備是現(xiàn)代工業(yè)制造與新一代生物、信息技術(shù)融合發(fā)展的產(chǎn)物，深刻體現(xiàn)了“人-機(jī)-網(wǎng)”深度互聯(lián)支撐人類智慧生產(chǎn)生活的新一輪科技創(chuàng)新理念，在“萬(wàn)物互連”浪潮中開(kāi)辟出又一戰(zhàn)略性新產(chǎn)業(yè)領(lǐng)域。在新技術(shù)新模式新產(chǎn)業(yè)驅(qū)動(dòng)新經(jīng)濟(jì)社會(huì)發(fā)展的大背景下，高校實(shí)驗(yàn)教育教學(xué)面臨新的機(jī)遇與挑戰(zhàn)。

該文提出基于“手機(jī)+可穿戴設(shè)備”開(kāi)展低功耗藍(lán)牙協(xié)議安全實(shí)驗(yàn)，既在實(shí)驗(yàn)技術(shù)層面為高校開(kāi)展可穿戴技術(shù)理論與實(shí)踐教學(xué)提供了高效易行的新方法，同時(shí)又在教學(xué)改革層面探索出基于手機(jī)、手環(huán)等個(gè)人設(shè)備當(dāng)堂開(kāi)展理論與實(shí)踐一體化教學(xué)的新模式，對(duì)高校實(shí)驗(yàn)教學(xué)深入推進(jìn)國(guó)家一流本科課程改革和瞄準(zhǔn)未來(lái)新移動(dòng)應(yīng)用領(lǐng)域開(kāi)展“新工科”建設(shè)提供了切實(shí)可行的新途徑。