Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BLEな()おもちゃを調べてみる

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for NV NV
November 23, 2017
Technology
3
1.4k

 BLEな()おもちゃを調べてみる

@IoTSecJP東京

Avatar for NV

NV

November 23, 2017
Tweet

More Decks by NV

See All by NV
ゲームのボツデータを見てみよう
Avatar for NV nvsofts
1
530
eMMCの話
Avatar for NV nvsofts
2
2.3k
%sの話
Avatar for NV nvsofts
1
1.4k
DOOMに関するあれこれ
Avatar for NV nvsofts
0
510
よくあるバックドアの話(公開版)
Avatar for NV nvsofts
2
550
IoTハックに使える買って良かったと思うもの
Avatar for NV nvsofts
0
2.2k

Other Decks in Technology

See All in Technology
"作る"から"使われる"へ:Backstage 活用の現在地
Avatar for SoftBank Tech Night sbtechnight
0
240
事例から紐解くSHIFT流QA支援 ~大規模プロジェクトの品質管理支援、QA組織立ち上げ~ / 20260320 Nozomu Koketsu
Avatar for SHIFT EVOLVE shift_evolve
PRO
0
120
The Rise of Browser Automation: AI-Powered Web Interaction in 2026
Avatar for Marc Thompson marcthompson_seo
0
290
2026年もソフトウェアサプライチェーンのリスクに立ち向かうために / Product Security Square #3
Avatar for GMO Flatt Security flatt_security
1
740
Phase05_ClaudeCode入門
Avatar for overflow ,Inc overflowinc
0
1.6k
GitHub Copilot CLI で Azure Portal to Bicep
Avatar for Yuta Matsumura tsubakimoto_s
0
170
プラットフォームエンジニアリングはAI時代の開発者をどう救うのか
Avatar for Kazuto Kusama jacopen
8
4.2k
ガバメントクラウドにおけるAWSの長期継続割引について
Avatar for takeda_h takeda_h
2
5.5k
JEDAI認定プログラム JEDAI Order 2026 受賞者一覧 / JEDAI Order 2026 Winners
Avatar for Databricks Japan databricksjapan
0
230
AWS Systems Managerのハイブリッドアクティベーションを使用したガバメントクラウド環境の統合管理
Avatar for Toru_Kubota toru_kubota
0
140
イベントで大活躍する電子ペーパー名札を作る(その2) 〜 M5PaperとM5PaperS3 〜 / IoTLT @ JLCPCB オープンハードカンファレンス
Avatar for you(@youtoy) you
PRO
0
190
Phase06_ClaudeCode実践
Avatar for overflow ,Inc overflowinc
0
1.5k

Featured

See All Featured
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
64
54k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
220
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
820
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
140
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
650
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
990
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
54k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k

Transcript

  1. BLEな()おもちゃを調べてみる NV (@nvsofts)

  2. 自己紹介 名前:NV ◦ Twitter: @nvsofts 個人サークル「えぬえす工房」代表 ◦ https://www.ns-koubou.com/ ◦ 冬コミ(C93)出るのでよろしくお願いします

    普段は都内にあるセキュリティ会社でIoTセキュリティなど をやっています

  3. 事の発端は・・・ ある人に

  4. 事の発端は・・・ ある人に 「面白いものを買ってきたから調べてみない?」 と言われたことです

  5. 入手したもの

  6. 入手したもの

  7. 入手したもの

  8. そういえば こんなのがありましたね・・・

  9. えーっと・・・ 要するに「大人向けの健康器具」の類です 親機と子機が付属し、子機は2種類の方法で遠隔操作可 1. 親機を使用して遠隔操作 2. Bluetooth LE (BLE)対応のスマートフォンで遠隔操作

  10. えーっと・・・ 要するに「大人向けの健康器具」の類です 親機と子機が付属し、子機は2種類の方法で遠隔操作可 1. 親機を使用して遠隔操作 2. Bluetooth LE (BLE)対応のスマートフォンで遠隔操作 ↑今回はこれにフォーカス

  11. 調べる前に 海外で入手したデバイスなので、技適マークはない ◦ 屋外で試すのはもちろんNG 実験時は関係のない人に迷惑をかけないように対策を 行っています

  12. 子機を調べる 子機の電源を入れて、nRF Connectでスキャン ◦ 「Aogu BLE Device」という名前でアドバタイズしている

  13. 子機を調べる サービスはこんな感じ ◦ 「Command Ch」という名前のキャラクタリスティックがある

  14. スマホアプリについて 専用のスマホアプリはiOS、Androidに対応 ◦ Android版は.apkを配っている ◦ iOS版はIn-House配布なので野良アプリ(ダメでしょ・・・)

  15. スマホアプリを調べる 調べやすいAndroid版をMobSFで静的解析する

  16. 権限が山盛り

  17. 遠隔操作コードを発見 ’00 XX’という バイト列を送るらしい

  18. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信

  19. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信 動いた!

  20. 子機にコマンドを送ってみる 試しに、Command Chに’00 01’というバイト列を送信 動いた! しかもペアリングなしで(認証がない!)

  21. 攻撃用デバイスを作る ESP32の評価ボードを使用 プログラムはESP-IDFに付属のサンプルを改造 周辺にある「Aogu BLE Device」を探して動作させる

  22. スニファで見ると・・・? nRF Snifferを使ってESP32~子機間の通信をキャプチャ ◦ Write Requestが発行されていることが確認できる ◦ ハンドル:0x0012は、Command Chを意味している

  23. まとめ BLEで認証なしは危険 ◦ 利用者にとっては楽かもしれないが、通信を保護する手段は 一切ない ◦ 現在では攻撃用デバイスも容易に作成可能 似たような事例のニュース記事の言葉を借りると 「非常に私的なものであるはずなのに、 第三者によって自在にコントロールされてしまう」

    ということになる

  24. おまけ:親機を調べる 親機は430MHz帯の無線を使っている ◦ 子機は430MHz帯+2.4GHz帯のデュアルバンド機になる ◦ 送信周波数は433.87MHz ◦ アマチュア無線のバンドとかぶっている ◦ 近くの433.50MHzは非常通信周波数

    JARL:アマチュアバンドプラン より http://www.jarl.org/Japanese/A_Shiryo/A-3_Band_Plan/A-3-0.htm