El advisory de la vulnerabilidad original se encuentra en http://digitalmunition.com/DMA[2006-0321a].txt
El ataque descrito por Kevin Finisterre se realiza contra un Motorola
PEBL U6.
El ataque descrito a continuación se ha realizado contra un Motorola
RAZR V3.
El objetivo del ataque Blueline
es la conexión al Perfil de Pasarela de Voz (Voice Gateway Profile) con
el fin de ejecutar comandos AT en el terminal. El Perfil de Pasarela de
Voz, accesible a través del canal 3, es un perfil que requiere
autorización, aunque no autenticación.
Los nuevos modelos de Motorola, como PEBL U6 y RAZR V3, deniegan
automáticamente (sin intervención explícita del usuario) un intento de
conexión proveniente de cualquier dispositivo Bluetooth no conocido
(que no aparece en el histórico de dispositivos conectados
anteriormente).
Con el fin de evitar este problema, el ataque Blueline
implementa una variación del ataque HeloMoto.
La vulnerabilidad que explota HeloMoto
se basa una implementación incorrecta de la gestión de la lista de
dispositivos de confianza en algunos teléfonos móviles Motorola
antiguos. El ataque HeloMoto
se lleva a cabo enviando una tarjeta de visita o vCard
a través del Perfil de Carga de Objetos (OBEX Object Push). De forma
automática y sin necesidad de interacción por parte del usuario
propietario del teléfono móvil, el dispositivo atacante es añadido a la
lista de dispositivos de confianza del terminal, aunque el proceso de
envío haya sido interrumpido por el atacante antes de llegar a su fin.
El atacante obtiene así privilegios para conectarse a servicios que
requieran autorización, aunque no autenticación.
Sin embargo, la funcionalidad del ataque HeloMoto
en los modelos de Motorola PEBL U6 y RAZR V3 varía respecto a los
modelos antiguos, ya que estos nuevos no son vulnerables al ataque HeloMoto
en sí. Llevando a cabo un ataque HeloMoto,
el dispositivo atacante no es añadido automáticamente a la lista de
dispositivos de confianza del teléfono móvil, pero sí que es añadido al
histórico de dispositivos conectados anteriormente, suficiente para que
cualquier intento de conexión posterior no sea denegado automáticamente
por el teléfono móvil.
De este modo y en adelante, las conexiones entrantes al teléfono móvil
desde el dispositivo atacante serán notificadas al usuario para que
confirme explícitamente su autorización. No obstante, la notificación
informará al usuario del nombre del dispositivo origen y es bastante
probable que el usuario deniegue tal conexión si el nombre del
dispositivo resulta sospechoso o simplemente por conducta preventiva.
La cuestión reside en persuadir al usuario del teléfono móvil para que
confirme la autorización de conexión al perfil.
La originalidad del ataque Blueline
consiste en provocar una falsificación o spoofing del interfaz
sustituyendo el mensaje original de la ventana de notificación de
conexión entrante por cualquier texto deseado con sólo modificar el
nombre del dispositivo atacante por una cadena de caracteres maliciosa
que contiene el carácter 0x0d para el salto de línea.
De esta forma, el mensaje de notificación malicioso podría engañar a
cualquier usuario de teléfono móvil y forzarle a que aceptara la
conexión, en cuyo caso, el dispositivo atacante quedaría autorizado en
el teléfono móvil comprometido.
En caso de que el usuario atacado sea engañado y confíe en el aviso
mostrado por pantalla, el dispositivo atacante dispondrá de
autorización para acceder al Perfil de Pasarela de Voz y ejecutar
comandos AT en el terminal comprometido.
En este caso, la consola de envío de comandos AT no disponía de eco
local y se han enviado los comandos AT ciegamente. En la imagen, se han
añadido los comandos AT utilizados para mejor comprensión.
Agradecimientos a ANELKAOS por la ayuda para llevar
a cabo el test del ataque Blueline.
Documentos relacionados
 |
MOTOHCKR, Hacking Bluetooth en teléfonos móviles Motorola |
 |
Vídeo MOTOHCKR: PEBL own3d |