Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BLEな()おもちゃを調べてみる

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for NV NV
November 23, 2017
Technology
1.4k
3

 BLEな()おもちゃを調べてみる

@IoTSecJP東京

Avatar for NV

NV

November 23, 2017

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
540
eMMCの話
Avatar for NV nvsofts
2
2.3k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
520
よくあるバックドアの話(公開版)
Avatar for NV nvsofts
2
560
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k

Other Decks in Technology

See All in Technology
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
2k
白金鉱業Meetup_Vol.24_「AIエージェントは分けるほど良い」は本当か? / Is it true that “the more you divide AI agents, the better”?
Avatar for BrainPad brainpadpr
1
420
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
Avatar for yoshimi0227 yoshimi0227
0
320
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
Avatar for seafay seafay
PRO
0
250
2026 TECHFRESH 畢業分享會 - 開發日常大解密!從領域驅動到企業級上線
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
1.3k
PostgreSQL 19 新機能概要 OSC Hokkaido 2026
Avatar for Noriyoshi Shinoda nori_shinoda
0
160
10年間のブログ発信を振り返って見えたWebアプリケーションエンジニアとしての軌跡
Avatar for すてにゃん stefafafan
0
170
AI駆動開発を通して感じた、 AI時代のデザイナーの役割変化
Avatar for WHIsaiyo whisaiyo
4
2.3k
気軽に使える"情報のハブ"としてのNotion活用 〜フロー情報の集積点 と、 Claude Code × Notion AI〜
Avatar for Ryo Okubo syucream
1
160
スタートアップにAmazon EKSは早すぎる? マルチプロダクト戦略を加速する Platform Engineeringの実践 / Is Amazon EKS Too Soon for Startups? Practical Platform Engineering to Accelerate a Multi-Product Strategy
Avatar for elmo elmodev09
1
400
脱SaaS!FDEを支えるプロビジョニングと分離設計
Avatar for Kenichi SUZUKI knih
0
240
【NRUG vol.18】KubernetesにおけるNew Relicデータ取得量削減の考え方
Avatar for NRUG member nrug_member
0
170

Featured

See All Featured
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
52k
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
9.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
410
State of Search Keynote: SEO is Dead Long Live SEO
Avatar for Ryan Jones ryanjones
0
210
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.3k
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
Avatar for David Carrasco davidcarrasco
3
160
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
How Software Deployment tools have changed in the past 20 years
Avatar for Geshan Manandhar geshan
0
34k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
170
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
Avatar for Sara Fernández Carmona sarafernandez
0
210

Transcript

  1. BLEな()おもちゃを調べてみる NV (@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 冬コミ(C93)出るのでよろしくお願いします

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. 事の発端は・・・ ある人に

  4. 事の発端は・・・ ある人に 「面白いものを買ってきたから調べてみない?」 と言われたことです

  5. 入手したもの

  6. 入手したもの

  7. 入手したもの

  8. そういえば こんなのがありましたね・・・

  9. えーっと・・・ 要するに「大人向けの健康器具」の類です 親機と子機が付属し、子機は2種類の方法で遠隔操作可 1. 親機を使用して遠隔操作 2. Bluetooth LE (BLE)対応のスマートフォンで遠隔操作

  10. えーっと・・・ 要するに「大人向けの健康器具」の類です 親機と子機が付属し、子機は2種類の方法で遠隔操作可 1. 親機を使用して遠隔操作 2. Bluetooth LE (BLE)対応のスマートフォンで遠隔操作 ↑今回はこれにフォーカス

  11. 調べる前に 海外で入手したデバイスなので、技適マークはない ◦ 屋外で試すのはもちろんNG 実験時は関係のない人に迷惑をかけないように対策を 行っています

  12. 子機を調べる 子機の電源を入れて、nRF Connectでスキャン ◦ 「Aogu BLE Device」という名前でアドバタイズしている

  13. 子機を調べる サービスはこんな感じ ◦ 「Command Ch」という名前のキャラクタリスティックがある

  14. スマホアプリについて 専用のスマホアプリはiOS、Androidに対応 ◦ Android版は.apkを配っている ◦ iOS版はIn-House配布なので野良アプリ(ダメでしょ・・・)

  15. スマホアプリを調べる 調べやすいAndroid版をMobSFで静的解析する

  16. 権限が山盛り

  17. 遠隔操作コードを発見 ’00 XX’という バイト列を送るらしい

  18. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信

  19. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信 動いた!

  20. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信 動いた! しかもペアリングなしで(認証がない!)

  21. 攻撃用デバイスを作る ESP32の評価ボードを使用 プログラムはESP-IDFに付属のサンプルを改造 周辺にある「Aogu BLE Device」を探して動作させる

  22. スニファで見ると・・・? nRF Snifferを使ってESP32~子機間の通信をキャプチャ ◦ Write Requestが発行されていることが確認できる ◦ ハンドル:0x0012は、Command Chを意味している

  23. まとめ BLEで認証なしは危険 ◦ 利用者にとっては楽かもしれないが、通信を保護する手段は 一切ない ◦ 現在では攻撃用デバイスも容易に作成可能 似たような事例のニュース記事の言葉を借りると 「非常に私的なものであるはずなのに、 第三者によって自在にコントロールされてしまう」

    ということになる

  24. おまけ:親機を調べる 親機は430MHz帯の無線を使っている ◦ 子機は430MHz帯+2.4GHz帯のデュアルバンド機になる ◦ 送信周波数は433.87MHz ◦ アマチュア無線のバンドとかぶっている ◦ 近くの433.50MHzは非常通信周波数

    JARL:アマチュアバンドプラン より http://www.jarl.org/Japanese/A_Shiryo/A-3_Band_Plan/A-3-0.htm