Tabla de contenidos |
| The Car Whisperer |
| The Pocket Car Whisperer |
Car Whisperer
The Car Whisperer
Martin Herfurt, 2005
El ataque Car Whisperer
tiene como objetivo los dispositivos Manos Libres de automóvil, aunque
también afecta a los dispositivos Manos Libres Auriculares.
El propósito original del proyecto Car
Whisperer era sensibilizar a los fabricantes
de dispositivos Manos Libres Bluetooth para automóvil acerca de la
amenaza para la seguridad que supone incorporar claves PIN por defecto
como medio para emparejarse con estos dispositivos.
La primera vez que dos dispositivos Bluetooth intentan establecer
comunicación, se utiliza un procedimiento de emparejamiento para crear
una clave de enlace común a partir de un código de seguridad Bluetooth
(clave PIN), que es requerido a cada dispositivo y que debe ser el
mismo para los dos. Posteriormente, cuando los mismos dispositivos se
comuniquen, utilizarán la clave de enlace para funciones de
autenticación y cifrado.
El hecho de incorporar una clave PIN por defecto en un dispositivo
Bluetooth significa que cualquier usuario con conocimiento de esa clave
estándar puede emparejarse con el dispositivo y comunicarse con él de
forma autorizada. En el caso de un Manos Libres, un atacante podría
acceder a las funciones de audio implementadas en el terminal y llevar
a cabo las siguientes acciones con fines maliciosos:
- Capturar el audio recogido por el micrófono del
dispositivo, lo cual permitiría escuchar conversaciones privadas en el
interior del vehículo.
- Inyectar audio que sería reproducido por los altavoces del
dispositivo, lo cual permitiría proyectar mensajes de voz a los
ocupantes del vehículo.
El ataque Car Whisperer
descubierto por Trifinite Group se basa en la utilización de una
herramienta para Linux con BlueZ. Esta herramienta se puede obtener en
la siguiente dirección: http://trifinite.org/trifinite_stuff_carwhisperer.html
La herramienta se compone de varios programas encargados de:
- Identificar dispositivos Manos Libres.
- Utilizar claves PIN estándares para emparejarse con el dispositivo.
- Crear una pasarela de audio estableciendo enlaces SCO para la transmisión de audio en ambas direcciones.
La herramienta Car Whisperer
permite capturar e inyectar audio en tiempo diferido, es decir, permite
capturar audio que es almacenado en un archivo .raw
para posterior reproducción y también permite inyectar audio pregrabado
en mensajes .raw.
Con el fin de solucionar el inconveniente de no poder escuchar el audio
recogido al mismo tiempo que se almacena, Kevin Finisterre publicó un
parche que, aplicado a la herramienta Car Whisperer, permite realizar
la operación de captura de audio en tiempo real, es decir, el audio
recogido por el micrófono del Manos Libres se reproduce automáticamente
por la tarjeta de sonido del PC del atacante al tiempo que se graba en
un fichero.
Se puede obtener el parche de Kevin Finisterre en la siguiente
dirección: http://www.digitalmunition.com/carwhisper-realtime.tar
Para aplicar el parche a la herramienta original, basta con
descomprimir los archivos del programa Car
Whisperer y del parche en el mismo
directorio, aplicar el parche y compilar el código fuente para obtener
la herramienta completa.
El procedimiento para desarrollar el ataque Car
Whisperer es el siguiente:
En primer lugar, el atacante debe ser capaz de encontrar en sus
proximidades un dispositivo Manos Libres Bluetooth en modo visible o discoverable.
Es condición necesaria que el dispositivo se encuentre activo pero no
conectado a ningún otro dispositivo en ese momento.
Un intento de conexión al Perfil de Auriculares lanzará un proceso de
emparejamiento que requiere al atacante la especificación de un código
de seguridad Bluetooth (clave PIN) que debe coincidir con la clave por
defecto almacenada en el dispositivo Manos Libres. El conocimiento de
esta clave es trivial, ya que las claves estándar determinadas por los
fabricantes suelen ser tan simples como 0000, 1234, 8888…
Si el proceso de emparejamiento se lleva a cabo con éxito, el PC del
atacante quedará autorizado para acceder al Perfil de Auriculares y
estará en disposición de lanzar la herramienta Car
Whisperer.
Tras la ejecución de la herramienta Car
Whisperer, el atacante habrá conseguido
llevar a cabo las siguientes acciones:
- Inyectar el mensaje de audio message.raw que será reproducido por los altavoces del dispositivo Manos Libres en el interior del vehículo.
- Capturar el audio recogido por el micrófono del dispositivo Manos Libres y reproducirlo en tiempo real en la tarjeta de sonido del PC, permitiendo al atacante escuchar conversaciones privadas en el interior del vehículo.
The Pocket Car Whisperer
Alberto Moreno, 2005
El ataque Car Whisperer,
desarrollado por Trifinite Group, explota la vulnerabilidad del código
de seguridad Bluetooth (clave PIN) por defecto en dispositivos Manos
Libres de automóvil. El ataque Pocket Car
Whisperer es una implementación del ataque Car
Whisperer para una plataforma atacante basada
en Pocket PC.
El hecho de incorporar una clave PIN por defecto en un dispositivo
Bluetooth significa que cualquier usuario con conocimiento de esa clave
estándar puede emparejarse con el dispositivo y comunicarse con él de
forma autorizada. En el caso de un dispositivo Manos Libres, un
atacante podría acceder a las funciones de audio implementadas en el
terminal y llevar a cabo las siguientes acciones:
- Capturar el audio recogido por el micrófono del
dispositivo, lo cual permitiría escuchar conversaciones privadas en el
interior del vehículo.
- Inyectar audio que sería reproducido por los altavoces del
dispositivo, lo cual permitiría proyectar mensajes de voz a los
ocupantes del vehículo
.
El ataque Car Whisperer
original descubierto por el grupo Trifinite se basa en la utilización
de una herramienta para Linux escrita en BlueZ. La variación del ataque
Pocket Car Whisperer respecto
del ataque original es el empleo de un equipo Pocket PC como plataforma
de ataque. La ventaja principal, a parte de que una Pocket PC resulta
más manejable y discreta que un ordenador portátil, es que el ataque
puede ejecutarse sin necesidad de utilizar una herramienta diseñada
específicamente para ese fin. Es posible llevar a cabo el mismo tipo de
ataque mediante la combinación simple de varios elementos presentes en
Windows Mobile.
El procedimiento para desarrollar un ataque Pocket
Car Whisperer es el siguiente:
En primer lugar, se procede a escanear en búsqueda de dispositivos
Manos Libres Bluetooth.
Tras encontrar un dispositivo Manos Libres, el siguiente paso es
realizar el emparejamiento. Requiere conocer el código de seguridad
Bluetooth (clave PIN) predeterminado que incluye el dispositivo por
defecto: 1234, 0000, 8888…
Si el emparejamiento se ha producido satisfactoriamente, el gestor de
conexiones Bluetooth crea un acceso directo al perfil de auriculares
ofrecido por el dispositivo Manos Libres.
A continuación, el atacante debe establecer una conexión con el Perfil
de Auriculares del dispositivo Manos Libres.
Si la conexión se ha realizado con éxito, el atacante dispondrá de
acceso a las funciones de audio soportadas por el perfil de
auriculares:
- Capturar el audio recogido por el micrófono del dispositivo.
- Inyectar audio que será reproducido por los altavoces del dispositivo.
Para realizar estas funciones de audio, el atacante puede
hacer uso de la aplicación Micrófono incluida en Windows Mobile.
Una vez establecida la conexión al Perfil de Auriculares y creada una
pasarela de audio estableciendo enlaces síncronos orientados a conexión
(SCO) para la transmisión de audio en ambas direcciones, el atacante
podrá llevar a cabo las siguientes acciones:
- Activar la aplicación Micrófono del equipo Pocket PC y capturar en un fichero el audio recogido por el micrófono del dispositivo Manos Libres. Esto permitiría tener acceso a conversaciones privadas entre los ocupantes del interior del vehículo objetivo.
- Grabar mensajes de voz por el micrófono del equipo Pocket PC, que al ser reproducidos durante una sesión de ataque, se proyectarán en el interior del vehículo objetivo a través de los altavoces del dispositivo Manos Libres, con el consecuente sobresalto del conductor y del resto de pasajeros.
Adicionalmente, cualquier sonido o archivo de audio que se reproduzca en el equipo Pocket PC será proyectado a través de los altavoces del dispositivo Manos Libres. Esto significa que si el atacante reproduce un archivo de música en la aplicación Windows Media Player, el sonido se escuchará en el interior del vehículo objetivo.
Durante el experimento llevado a cabo para demostrar este ataque, se ha
obtenido una distancia máxima de acción en torno a 10 metros a la
redonda, suficiente para que esta experiencia pueda ser reproducida en
un escenario de ataque real desde otro vehículo o a pie, siempre que
nos mantengamos junto al objetivo en ese radio de cobertura.
