PacSec 2015年11月 Blue-Toot
ブルー・トゥート または
「私のアンドロイドはちょっと困ったわ...」
アダム「Major Malfunction」ローリー
自己紹介 ApertureLabs:www.aperturelabs.com
自己紹介 Aperturelabs:www.aperturelabs.com
自己紹介 Aperturelabs:www.aperturelabs.com
自己紹介 Aperturelabs:www.aperturelabs.com
ザック・フランケン 電気回路オタク
• 怖い化学薬品 • 悪臭
自己紹介
Whoarewe?
アダム・ローリー
ソフトウェア開発オタク アナログの魔の月影を美しいデジタルのビットとバイトに変換する人
何しているのか バグバウンティ・プログラムに挑戦 Pwn2own Mobile Pwn2own
Android NFC Android Bluetooth
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
Android+NFC=Blue-toot
きっかけ
Mobile pwn2own 2013 近接場型の無線通信($50,000): BluetoothまたはWi-FiまたはNFC
きっかけ
Mobile pwn2own 2013 近接場型の無線通信($50,000): BluetoothまたはWi-FiまたはNFC
家に帰る途中で空港のラウンジでハッキングできた
きっかけ
Mobile pwn2own 2013 近接場型の無線通信($50,000): BluetoothまたはWi-FiまたはNFC
家に帰る途中で空港のラウンジでハッキングできた
Mobile pwn2own 2013 近接場型の無線通信($50,000): BluetoothまたはWi-FiまたはNFC
家に帰る途中で空港のラウンジでハッキングできた やぁ、だめだった。遅過ぎ。
きっかけ
きっかけ
Mobile pwn2own 2014
「自分で見つけた脆弱性をMobile Pwn2Own 2014まで保管してもいいし、今でも 通常にZDIに提出してもいいです。」- ZDI
バウンティ
善玉:
• バグを発見したら、誰でも受賞
• 企業が促さない研究
バウンティ
善玉:
• バグを発見したら、誰でも受賞
• 企業が促さない研究
• 大金をもらえる ̶ 2014年に75,000米ドル(約830万円)の最高賞
バウンティ 悪玉:
• 成功した研究しか払われない • ベンダーにとっては安い • 研究者にとってはもっと高くつく
• ベンダーが価値を決めるため、フリーマーケットではない
• 脆弱性を売ることには違和感がある • もっとも高く買収されるため、脆弱性を保管する
バウンティ 卑劣漢:
• 「携帯電話」のpwn2ownは実に携帯ではない
• WiFi / NFC / Bluetoothのカテゴリーは電磁シールドしたケージに完了しないといけない
• 圏外の状態で! • 勝つために精一杯!
バウンティ 卑劣漢:
• 「優勝者」が投げ銭で選ばれることがある
• 初優勝が出るとコンテストが終わる • 2014年に5つのエントリー
バウンティ 卑劣漢:
• 「優勝者」が投げ銭で選ばれる事がある
• 初優勝が出るとコンテストが終わる • 2014年に5つのエントリー
• その後の優勝者は賞金の半分をもらう
バウンティ 卑劣漢:
• 次の日に脆弱性が価値を失う
• 闇市場で売らないならば、、、
• っていうか、違いはなんだ?
バウンティ 卑劣漢:
• 当然もともとセキュリティレベルが低い • 全てのセキュリティの企業が全部の脆弱性情報にアクセスできるわけでない
• 自分が選んだベンダーがカバーするグループと同じセキュリティになるだけ
バウンティ 卑劣漢:
ワッセナー・アレンジメント
Dragos氏の9月1日のツイート:
「ワッセナーの変更での誠実な初負傷者:新しい輸出制限によってHP社は日本でのPWN2OWN Mobileを開催致しません。」
ハック NFC
• NDEF • SmartPoster • WiFi設定
• Bluetoothハンドオーバー
ハック NFC
• NDEF • Bluetoothハンドオーバー
• Bluetoothを有効にする
• 目標の「オープン」サービス
• OBEXプッシュ • HCIコマンドを確立した接続に送信
ハック Bluetooth
• HCIコマンドを確立した接続に送信
• 接続は常に暗号化している
• どちら側からも鍵変更を要求できる
• 新しい鍵を送り込む
ハック Bluetooth
• 新しい鍵を送り込む
• 新しい鍵はターゲットのkeysfileに保存される
• ターゲットのBluetoothのスタックを再起動させる
• 起動中にkeysfileの中の鍵は自動的に信頼される
デモンストレーション ここで全ては最悪の方向に進む。。。