1. Introducción.

Si por algo se encuentra limitado un ataque Bluetooth es por la distancia entre atacante y receptor del ataque, ya que la mayoría de dispositivos comerciales tienen un radio de acción de 10-100m. La posibilidad de poder migrar una aplicación de ataque Bluebug a una plataforma Mobile amplía en un mayor grado la capacidad del atacante, ya que este puede utilizar una PDA, mucho más discreta a la vista que un PC portatil, para realizar un ataque y pasar desapercibido más fácilmente. La forma de realizar el ataque sigue siendo la misma, básicamente se trata de conectarse al puerto serie del teléfono móvil y establecer una sesión de línea de Comandos AT con peticiones y respuestas. El servicio de puerto serie del teléfono móvil es fácilmente localizable realizando una proceso de enumeración de servicios Bluetooth disponibles.


Bluehack ha desarrollado una herramienta en eVC++ para Pocket PC ARM con Windows Mobile 2003 que permite lanzar un ataque Bluebug contra teléfonos móviles no protegidos frente a esta vulnerabilidad. De este modo, la aplicación se conecta al puerto serie del teléfono móvil (tanto por canal Infrarrojos o Bluetooth) y es capaz de enviar Comandos AT y recibir respuestas.

Ataque Bluebug desde PDA
Documentación del ataque Bluebug desde Pocket PC.

2. Descripción del ataque.

El siguiente ataque ha sido llevado a cabo contra Nokia 6230. Puede que los resultados del siguiente test no sean los mismos dependiendo de diferentes modelos o versiones de firmware.

  2.1.  Interfaz de la aplicación.
































  2.2. Inicializando la comunicación Bluetooth en Pocket PC.

























  2.3. Abriendo la aplicación.

























  2.4. Configurando el ataque

Para ello, primero seleccionamos el puerto que utilizaremos para transmitir: IrD o Bluetooth.
Dejamos marcada o desmarcamos la opción de extraer Agenda.
Introducimos en la casilla de texto un comando AT personalizado o bien la dejamos en blanco. En el ejemplo, hacemos la petición del comando AT+CPBS="DC";+CPBR=1, que sirve para extraer el primer contacto almacenado en la lista de últimas llamadas realizadas (Dialled Call List).

























  2.5. Iniciando el ataque

Al pulsar el botón Enviar , se ejecutará el asistente para conexión Bluetooth.

Primero debemos seleccionar un dispositivo Bluetooth detectado, Nokia 6230 .
























Después, debemos seleccionar el puerto del teléfono móvil al que queremos transmitir, en nuestro caso, COM 1 .
























La aplicación se conectará con el teléfono móvil y comenzará a enviar los comandos AT.
























Como puede apreciarse en la captura, el comando AT  personalizado se envía al teléfono móvil y mientras se espera recibir la respuesta, el estado de la transmisión es WAIT.


  2.6. Recibiendo respuesta de los comandos AT enviados.

Además del comando AT personalizado, la aplicación también enviará por defecto los siguientes comandos AT:

    - AT+CGMI - Devuelve la marca del teléfono móvil comprometido.
    - AT+CGMM - Devuelve el modelo del teléfono móvil.
    - AT+CGSN - Devuelve el IMEI.
    - AT+CSQ - Devuelve el estado de calidad de la señal de cobertura.
    - AT+C BC - Devuelve el estado de carga de la batería.
























Si la ejecución de los comandos AT es satisfactoria, se mostrará en pantalla el estado OK. En caso de que alguno de los comandos fallara su ejecución, ya sea porque el comando es inválido o porque la comunicación Bluetooth entre los dos dispositivos se ha visto interrumpida, se mostrará en pantalla el estado FALLO.


  2.7. Extrayendo la agenda de contactos.

En caso de que la opción Extraer Agenda se encuentre marcada, la aplicación pasará a un segundo estado de ejecución en el que el diseño del interfaz se modificará.
























A continuación, la aplicación seleccionará el dispositivo de memoria de la tarjeta SIM e irá extrayendo los contactos uno a uno, mostrándolos en pantalla.


























3. ¿Dónde puedo encontrar esta aplicación?

Esta herramienta ha sido desarrollada por Bluehack a partir de una modificación propia de un proyecto ya existente:
IrDA Mobile de Daniel Strigl ( http://codeproject.com/ce/irdamobile.asp )

No se va a publicar el código fuente de la modificación pero, en breve, vamos a liberar una versión Proof of Concept que podrá utilizarse para testear la vulnerabilidad en teléfonos móviles. Esta versión, permitirá total interacción a través del canal IrD, pero limitará la interacción en el caso del canal Bluetooth.