过去,我曾使用 WiFi 取消身份验证攻击成功地将 WiFi 连接设备从我的 LAN 网络中删除。
据我所知,攻击者只是欺骗了客户端并向接入点发送了一个取消身份验证帧,然后接入点拒绝来自客户端的任何连续连接。
现在,我对 WiFi 比对蓝牙更熟悉,但我最近一直在想,是否可以使用类似的攻击来从蓝牙连接的设备“取消身份验证”?例如,我可以欺骗某人的笔记本电脑/手机并将数据包发送到他们连接的蓝牙扬声器并强制扬声器断开连接吗?
是否可以像 WiFi 网络一样对蓝牙配对设备使用某种类型的 deauth 攻击?
不是我听说过的。蓝牙通信的设计不像 wifi 通信。当我们通过您所说的方法丢弃客户端时,通信发生在 2.4Ghz(或最近在 5Gz),所有通信都在该范围内完成,具体取决于信道。
蓝牙有点不同。v4.0 规范文档在这里:
在 Internet 路由器的情况下,始终可以根据 BSSID 和 ESSID 与之通信,我们还使用它来确定通过 aerodump 之类的方式连接到它们的客户端。
然而,在蓝牙的情况下,如果设备不可发现,我们需要知道 48 位 bd_addr。在不可发现模式下,设备不会响应扫描尝试,也不会向我们透露这一点。但我们会假设你以某种方式拥有它,并在它被发现时捕获它。
当通信开始时,消息在所谓的页面中发送,这就是事情变得有趣的地方。通信所需的步骤包括时钟同步和频率协议(其中一个信道主接入码)和信道跳变序列,这是wlan设备通信的主要区别。
这就是微微网(每个主设备和从设备存在的小网络)的形成方式,每个都有自己的跳频机制和通道密码。有关拓扑,请参见第 4.1.1 节。这就是我认为在这里创建类似攻击的主要问题。但很快就会明白这一点。只知道我们说的是每秒 1600 跳。还需要注意的是,如果蓝牙设备是连接的主设备,则它不能是任何其他连接的主设备。然而,它可以是多个连接的从属。因此,蓝牙集线器很可能会作为从设备进行连接。由于访问代码和频率希望也由主设备定义,这也是我认为无法完成的原因。完整的连接顺序参见 3.1。
连接完成后,可以将LMP_detach从一个设备发送到另一个设备,但这不是必需的,也不需要响应。也不能保证我可以在这里看到,从设备在接收到 LMP_detach 或软复位后会忽略任何通信。我认为,如果已经过去了足够的时间去同步,那么重新同步就是必要的。
总而言之,为了发出 LMP_detach 我们将拥有:
哦,那里也有加密。
就像我说的,我从来没有试过这个?但我认为时钟同步和跳频将是实现此类目标的最大障碍。我不是一个说任何不可能的人。到目前为止,我还不是蓝牙专家。如果已经完成,我很乐意看到它!但这只是我的2c。
我不认为它可以做到。