FUZE卡介紹
fuze是一種尺寸跟普通信用卡一樣的物聯網設備,你可以使用智能手機app并通過藍牙來對fuze卡進行編程。為了方便用戶管理和配置信用卡,brilliantts公司還專門發布了一款名叫ecard manager的應用程序。當你需要進行支付時,你需要在手機app中選擇使用的信用卡,選擇成功后fuze卡也就相當于你所選擇的那張信用卡了。
但是通過研究發現,卡片的添加和使用過程其安全性并不可靠,從某種程度上來說,FUZE確實部署了一些安全防護措施,在首次設置FUZE時,你需要輸入一個六位數的密碼,但這個步驟是可以跳過的。配置好密碼之后,設備會保持鎖定狀態,直到你手動解鎖或手機在卡片附近時才會解鎖。在鎖定狀態下,你無法訪問卡片中的數據或對磁條進行編程。它還提供了一種高級安全模式,即只有用戶手機通過藍牙連接卡片時,卡片才可以正常使用。
X光掃描硬件結構
跟常見的物聯網設備不同,FUZE卡的厚度只有一毫米不到,所以為了了解設備的內部構造,X光掃描是最合適不過了。掃描到的結構圖如下所示:
我們可以看到,主芯片是一個微型控制器、一個e-Paper驅動器和一個藍牙SoC,而且主板上很多功能目前都還沒有使用到,包括NFC和EMV(之后會提供功能支持)。
藍牙協議逆向分析
對于FUZE卡來說,藍牙接口是我們逆向分析的主要目標。為此,我所要使用的工具如下:
1.???安卓手機一臺;
2.???ecard manager(可選);
4.???Gatttool/BlueZ;
要對藍牙設備進行黑盒測試的話,安卓手機必不可少。我們不僅可以在手機上監控藍牙的通信流量,而且還可以直接對Java字節碼進行反匯編。Burp作為http代理,我們可以攔截安卓App與后臺服務器的API請求。安卓芯片帶有一個名叫“HCI snoop log”的功能,用戶可以在開發者設置菜單中開啟,這個功能允許我們將藍牙活動的所有信息保存在文件中,其中包含App與設備的所有交互信息。Wireshark可以讀取HCI snoop log的信息,并對其進行基本的過濾和分析。為了半自動化實現將數據導出為文本文件,這里我們使用了一個Perl腳本。最后,gatttool或其他的BlueZ工具可以用來對設備進行最直接的滲透分析,并了解協議消息。
逆向FUZE
眾所周知,ecard manager,大多數設備都會在其基礎上實現額外的安全保護,。同樣的,FUZE也不會向任何未配對的設備發送數據,或使用BLE連接層加密。因此,gatttool是無法在不進行配對的情況下向FUZE發送請求的,所以我打算使用基于安卓的逆向分析方法:
1.???安卓上開啟藍牙HCI snoop功能;
2.???在App中與FUZE卡交互;
3.???使用adb將HCI日志導出到PC中;
4.???使用Wireshark進行分析;
5.???過濾并將數據導出到文本中;
6.???使用Perl腳本對數據進行解析;
Wireshark的逆向分析結果如下:
HCI snoop最好的地方就在于它所捕捉到的數據是硬件藍牙芯片加密之前的明文數據,其中包含有某些ASCII字符串和協議數據格式。
漏洞利用與PoC
注:如果攻擊者能夠捕捉到設備與App的配對會話,FUZE卡的配對數字PIN碼是可以通過暴力破解攻擊的形式破解的。
首先,我們需要使用bluetoothctl來掃描設備并與其實現配對:
1. 啟動bluetoothctl:sudo bluetoothctl;
2. 啟用代理客戶端(用于配對):agent on;
3. 掃描設備:scan on;
4. 掃描到FUZE卡之后,禁用掃描:scan off;
5. 與FUZE卡配對:pair
6. 輸入設備顯示的數字PIN碼;
7. 斷開連接:disconnect
接下來,我們就可以使用gatttool向卡片發送命令了:
1.???啟動gatttool:sudo gatttool -I -b
2.???連接設備:connect;
3.???訂閱通知:char-write-req 1b 0100;
4.???發送命令:char-write-req 18
我們所發送的命令如下:
第一條命令可以繞過設備的鎖屏功能,第二天可以讀取到設備中的第一張信用卡卡號、過期日以及CVV。
總結
前有Apple Pay和三星Pay,后有FUZE智能卡,整個支付行業都在想盡辦法實現無卡支付,雖然我個人并不認為藍牙信用卡有多大的現實意義,但既然已經有了,那我們肯定要想辦法保證它的安全。
相關文章教程推薦:ecard manager
