Apple-toestelle het 'n wonderlike Airdrop-funksie - dit is gemaak om data tussen toestelle oor te dra. Terselfdertyd is geen konfigurasie en voorlopige koppeling van toestelle nodig nie, alles werk uit die boks in twee kliks. Vir data-oordrag word 'n byvoeging oor Wi-Fi gebruik, en daarom word data teen geweldige spoed oorgedra. Terselfdertyd, met behulp van 'n paar truuks, kan jy nie net lêers stuur nie, maar ook die telefoonnommer uitvind van 'n persoon wat saam met jou in dieselfde moltreinmotor is.
Vir die laaste jaar gebruik ek hierdie kenmerk vir interessante kennisse op pad werk toe, in openbare vervoer, in openbare spyseniering. Gemiddeld kry ek dit reg om verskeie nuwe kennisse per dag te maak, en soms klim ek van die moltrein af in die geselskap van 'n nuwe persoon.
Onder die snit sal ek vir die hele persimmon vertel.
Hoe werk AirDrop?
AirDrop is 'n protokol vir die oordrag van lêers binne 'n eweknie-netwerk. Dit kan beide oor 'n gewone plaaslike netwerk en oor die lug tussen enige Apple-toestelle werk. Ons sal die laaste geval ontleed, wanneer twee toestelle nie aan 'n gemeenskaplike netwerk gekoppel is nie, maar bloot naby is, byvoorbeeld, twee mense met fone reis in 'n moltreinkar en is nie aan 'n gedeelde Wi-Fi gekoppel nie.
Die eerste fase van oordrag via AirDrop - stuur 'n BLE-pakket
Om data-oordrag via AirDrop te inisieer, stuur die inisieerder se foon 'n BLE-uitsaaipakkie wat inligting bevat oor die iCloud-rekening en die telefoonnommer van die eienaar van die inisieerder se toestelle, met 'n voorstel om 'n verbinding via die AWDL (Apple Wireless Direct Link) tot stand te bring. protokol, iets soos Wi-Fi. Fi Direct vanaf die Android-wêreld. Die struktuur van hierdie BLE-pakket is baie interessant, ons sal dit verder ontleed.
Aan die kant van die ontvanger kan AirDrop in drie toestande wees:
- Afgeskakel - sal glad nie opdaag nie
- Slegs kontakte - aanvaar slegs lêers van kontakte in jou adresboek. In hierdie geval word die kontak beskou as die telefoonnommer of e-pos waaraan die icloud-rekening gekoppel is. Dieselfde rekeningskakellogika werk hier as met die iMessages-boodskapper.
- Vir alle - die telefoon sal vir almal opgespoor word
AirDrop-privaatheidinstellings. Die verstekstatus is ingestel op "Vir kontakte".
Afhangende van die privaatheidinstellings, sal die telefoon óf voortgaan om die verbinding via AWDL te bewerkstellig óf bloot die BLE-pakkie ignoreer. As die AirDrop-instelling op "vir almal" gestel is, dan sal die toestelle in die volgende stap aan mekaar koppel via AWDL, 'n IPv6-netwerk onder mekaar oprig, waarbinne AirDrop as 'n gewone toepassingsprotokol sal werk deur mDNS via die standaard IP te gebruik protokol.
Vir eksperimentering kan jy kyk hoe AWDL op 'n Macbook werk. Alle kommunikasie wat hierdie protokol gebruik, vind deur die koppelvlak plaas awdl0, wat maklik met Wireshark of tcpdump gesnuif kan word.
Op hierdie stadium ken ons drie entiteite:
Bluetooth Lae Energie (BLE) pakket - hierdie pakkie bevat data op grond waarvan die foon besluit of die inisieerder in sy kontaklys is of nie.
Apple Wireless Direct Link (AWDL) - Apple se eie vervanging vir Wi-Fi Direct, skakel aan as kommunikasie via BLE suksesvol was.
AirDrop - 'n toepassingsprotokol wat binne 'n gewone IP-netwerk werk deur mDNS, HTTP, ens. Kan binne enige Ethernet-netwerk werk.
BLE pakket struktuur
Dit mag lyk asof hierdie BLE-pakkie slegs een keer van die inisieerder na die ontvanger vlieg, en dan vind die uitruiling slegs via AWDL plaas. In werklikheid leef 'n AWDL-verbinding baie min, slegs 'n paar minute of minder. So ingeval die ontvanger van die lêer jou wil antwoord, sal hy ook as 'n inisieerder optree en 'n BLE-pakkie stuur.
Hoe verstaan die foon aan die ontvanger of die nommer / e-pos van die inisieerder in sy kontaklys is of nie? Ek was baie verbaas toe ek die antwoord kry: die inisieerder stuur sy nommer en e-pos as 'n sha256-hash, maar nie heeltemal nie, maar slegs die eerste 3 grepe.
Die struktuur van die BLE-pakket van die AirDrop-inisieerder. Op grond van die hashes van die telefoonnommer en e-pos, verstaan die respondent of die inisieerder in sy kontaklys is.
Byvoorbeeld, as jou Apple-rekening (ook bekend as iCloud, ook bekend as iMessages) aan die nommer +79251234567 gekoppel is, sal die hash daarvan soos volg bereken word:
echo -n "+79251234567" | shasum -a 256
07de58621e5d274f5844b6663a918a94cfd0502222ec2adee0ae1aed148def36
En gevolglik sal die waarde in die BLE-pakket wegvlieg xnumxdexnumx vir 'n telefoonnommer. Dit lyk nie genoeg nie, maar hierdie drie grepe is dikwels genoeg om die regte telefoonnommer uit te vind.
Dit is ook belangrik om te onthou dat die AirDrop-privaatheidinstelling nie die data in die BLE-pakkie beïnvloed nie. Die hash van die telefoonnommer sal daarin vervat word, selfs al is die "Publieke" instelling gestel. Ook word 'n BLE-pakkie met 'n hash van die telefoonnommer gestuur wanneer die Deel-venster oopgemaak word en wanneer die wagwoord vir die Wi-Fi-netwerk ingevoer word.
Lees die studie vir 'n gedetailleerde ontleding van die struktuur van BLE-pakkies en moontlike aanvalle daarop. en Russies .
Die Apple Bleeee-studie het klaargemaakte python-skrifte gepubliseer vir die outomatisering van data-analise in BLE-pakkette. Ek beveel sterk aan om die navorsing te bestudeer en die programme uit te probeer, daar is baie wonderlike goed daarin.
AWDL (Apple Wireless Direct Link)
AWDL is so 'n eie Apple-byvoeging oor gewone Wi-Fi wat iets soos Wi-Fi Direct implementeer. Ek weet nie heeltemal hoe dit werk nie, daar is 'n spesiale manier om kanale aan te kondig en te pas, en dit werk net op eie Apple-bestuurders. Dit wil sê, slegs Macbooks / iPhones kan via AWDL koppel.
Hartseer eienaars van Android-fone droom steeds net van 'n behoorlik werkende Wi-Fi Direct-funksie.
Maar nie so lank gelede het die ouens van het 'n heeltemal oopbron-implementering van AWDL geskryf en dit genoem (uil). Om OWL te laat loop, moet die Wi-Fi-adapter monitormodus en pakkieinspuiting ondersteun, so dit werk nie op elke hardeware nie. Die webwerf het voorbeelde van instellings op die raspberry pi. Dit werk baie slegter as die oorspronklike AWDL, byvoorbeeld, die verbindingsopsteltyd word met ~ 10 sekondes verleng in plaas van 'n paar sekondes vir die oorspronklike, maar dit werk.
Hierdie ouens het ook 'n implementering van die AirDrop-protokol in python van nuuts af geskryf, genoem . Dit kan beide in samewerking met OWL gebruik word, om AirDrop op Linux te laat loop, en met die oorspronklike AWDL op macOS.
Hoe om via AirDrop op te laai
'N Tipiese situasie met rol deur AirDrop
Genoeg vervelige teorie, dit is tyd om te begin oefen. Jy is dus gewapen met al die nodige toerusting en gereed om vorentoe te beweeg om balle te rol met behulp van hoë tegnologie.
Eerstens moet jy die hoofpunte onthou:
- AirDrop sal net werk as die foon ontsluit is - Dit is die beste as die teiken voortdurend na die telefoon kyk. Meestal gebeur dit op plekke waar dit vervelig is, byvoorbeeld in die metro.
- Benodig tyd - Gewoonlik vind 'n positiewe omskakeling plaas op 3-5 gestuurde foto's, so jy benodig ten minste 5 minute se stil verblyf op een plek. Ek beskou die oomblik toe jy ingestem het om voort te gaan met kommunikasie in die boodskapper deur AirDrop as 'n positiewe omskakeling. Dit is moeilik om dadelik te implementeer, want dit is nie dadelik duidelik wie jou loonvrag geneem het nie, en heel waarskynlik sal jy opwarm voordat jy oor iets kan saamstem.
- Gepersonaliseerde kreatiewe werk beter - Ek noem die media-inhoud wat jy via AirDrop stuur 'n loonvrag. Net 'n foto met 'n meme sal waarskynlik niks lei nie, die inhoud moet relevant wees vir die situasie en 'n duidelike oproep tot aksie hê.
Klassieke metode - slegs telefoon
Geskik vir almal wat 'n iPhone het, vereis nie spesiale vaardighede behalwe sosiale vaardighede nie. Ons vertaal AirDrop in Almal-modus en gaan af na die metro. Op 'n tipiese dag (voor self-isolasie) in 'n Moskou-metromotor, het ek iets soos hierdie gesien:
Lys van teikens
Soos u kan sien, saai byna alle fone die naam van die eienaar uit, waardeur ons maklik sy geslag kan bepaal en die toepaslike loonvrag kan voorberei.
Loonvrag
Soos ek hierbo geskryf het, werk 'n unieke loonvrag beter. Ideaal gesproke moet die prentjie die eienaar by die naam aanspreek. Voorheen moes ek 'n kreatief beeldhou met behulp van 'n grafiese redigeerder in die notas-toepassing en 'n soort mobiele photoshop-stomp. As gevolg hiervan, teen die tyd dat die gewenste prentjie geteken is, was dit reeds nodig om uit die motor te klim.
My vriendin Anya , veral op my versoek, het 'n Telegram-bot geskryf wat die nodige prente genereer met 'n onderskrif op die vlieg: . Baie dankie vir die feit dat ek nou baie meer tegnologies as voorheen balle kan rol.
Dit is genoeg om 'n teksreël na die bot te stuur, en dit sal dit genereer as 'n beeld wat presies geskik is vir die aspekverhouding vir die voorskou in die AirDrop-venster. Jy kan 'n karakter in die prentjie kies deur die knoppies te druk. U kan ook opsioneel die toevoeging van u Telegram-aanmelding by die prentjie in die hoek moontlik maak.
loonvrag kragopwekker
Die vetste was dat die foto dadelik op die slagoffer se skerm gewys is sonder enige aksie. Moes nie eers "aanvaar" druk nie. Jy kon die onmiddellike reaksie op die gesig sien van die laai van die loonvrag. Ongelukkig, sedert iOS 13, word prente van onbekende kontakte nie meer op die skerm gewys nie. Hier is hoe dit voorheen gelyk het:
Loonvrag afgelewer op iOS ≤12
Nou, in plaas van 'n voorskou, word slegs die naam van die sender se toestel gewys. Daarom is die enigste manier om 'n slagoffer met iOS ≥13 by naam aan te spreek, om dit in die instellings van jou toestel te stel, byvoorbeeld, noem die foon "Julia, hallo." Wenk: Jy kan emoji in die toestelnaam gebruik. Natuurlik is hierdie metode nie so helder soos met die prentjie nie, maar dit verhoog die kans aansienlik om die "aanvaar"-knoppie te druk.
Verdere beskrywing van die aksies is buite die bestek van 'n tegniese artikel en hang slegs af van jou verbeelding, improvisasie en humor. Ek kan net sê dat diegene wat hierdie speletjie betree en jou met prente begin antwoord of notas stuur, gewoonlik baie vrolike, oop en interessante mense is. Diegene wat na die prentjie kyk, reageer eenvoudig nie, of erger nog, verwerp bloot die boodskap, gewoonlik vervelige snobs en grootmense. Ook speel die vreesfaktor dikwels 'n rol: brose, skaam mense is bang om met so 'n astrante anonieme vreemdeling om te gaan.
Outomatiese pielmasjien
As jy te lui is om loonvragte met die hand te genereer en uit te stuur, en jy wil die proses outomatiseer, kan jy 'n outomatiese dip-pick-masjien maak wat, in die agtergrond, foto's via AirDrop sal stuur aan almal wat binne bereik is. Ons sal raspberry pi zero as 'n hardewareplatform gebruik, maar enige rekenaar met Linux sal doen, die belangrikste ding is dat die Wi-Fi-kaart monitormodus en pakkieinspuiting ondersteun.
Raspberry pi zero w airdrop dikpik sender + UPS Lite battery skild
Daar is programme vir AirDrop flooders vir Jailbreak iPhones, hulle werk meer stabiel as oop weergawes op raspberry pi
Die opstel van OWL op die raspberry pi word in detail beskryf by , maar ek verkies om die Raspberry Pi Zero-bou van Kali Linux te gebruik, want dit het reeds nexmon-patches geïnstalleer om monitor wifi-modus op rpi0 te aktiveer.
Dit is belangrik om te onthou dat Airdrop (of eerder AWDL) by pasiënte eers geaktiveer word nadat hulle 'n BLE-pakket ontvang het. Daarom moet ons dit met tussenposes van 'n paar sekondes stuur. Dit kan gedoen word met die hulpprogram . Deur die start_le_advertising() funksie te gebruik, stuur ek die datastring vanaf die appel bleee voorbeelde: 000000000000000001123412341234123400.
Sodra jy 'n werkende UIL-demoon het, kan jy my vurk hardloop . Die bewaarplek bevat die skrif flooder.pywat vir almal 'n foto stuur kak_dela.jpeg.
Volgens my waarnemings is raspberry pi zero w onstabiel in monitormodus. Na ongeveer 20 minute se aktiewe fluder-werking, val die Wi-Fi-substelsel ineen. Die probleem word deur die skrywer beskryf , en vermoedelik deur oorverhitting veroorsaak. Jy moet 'n waghond voorsien of meer stabiele hardeware gebruik
Manicello-modus - ek ken jou nommer
As jy jouself as 'n ontoereikende maniak wil wys en die begeerte om voort te gaan om met jou te kommunikeer vir altyd ontmoedig, kan jy probeer om die telefoonnommer van die persoon wat naby is, uit te vind.
Soos ons vroeër geleer het, bevat die BLE-pakkies wat deur die inisieerder gestuur is die eerste drie grepe vanaf die sha256 van die telefoonnommer. Hierdie hash kan gevang word wanneer die slagoffer die "deel"-knoppie druk en 'n airdrop-toestelskandering begin of in die Wi-Fi-wagwoordveld vir 'n nuwe netwerk tik (dus Apple soek vriende binne bereik wat 'n netwerkwagwoord kan aanvra).
Jy sal op een of ander manier die hash van die slagoffer moet aktiveer en dit vang. Ek gebruik die nutsprogramme van die bewaarplek . Aangesien die Bluetooth MAC-adresse van toestelle ewekansig is en voortdurend verander, sal jy 'n ander manier moet vind om die gewenste toestel in hierdie lys te identifiseer. Die taak word vereenvoudig deur die feit dat iOS die huidige toestand van die foon uitsaai soos: skerm af, skerm aan, sluitskerm, ontsluit, ens. Daarom, bloot deur die optrede van die slagoffer waar te neem, kan u die huidige toestand van die toestel vergelyk met die toestel in die tabel. Die maklikste manier om die oomblik te vang wanneer die gebruiker die foon uit sy sak haal, die skerm aanskakel en die foon met sy vinger of gesig oopsluit. Dit alles sal in die snuffel sigbaar wees.
icon Х beteken dat 'n pakkie met telefoon-hashes gevang is.
Hul ontleder breek soms, maar die meeste van die tyd werk dit. Ek sal nie die essensie van die kwesbaarheid heeltemal oorvertel nie, aangesien dit in detail deur die skrywers van Apple Blee ontleed word, sal ek net my ervaring beskryf. Ek kan net sê dat ek 'n USB Bluetooth-adapter gebruik wat op die CSR 8510-skyfie gebaseer is, aangesien dit vir my baie meer stabiel werk as die Bluetooth-adapter wat in die MacBook ingebou is, in die virtuele masjien gegooi.
Ons het dus die hash van die slagoffer se foon gevang en die gesogte drie grepe van die hash van die telefoonnommer gekry.
Onderskep BLE-pakkie met 'n hash van 'n telefoonnommer met behulp van die nut
Ons weet dat alle selfoonnommers in Rusland met die kode +79 begin en heel waarskynlik het ons slagoffer se foon dieselfde kode. Dit blyk dat ons 'n reeks getalle het van +79000000000 tot +79999999999, ongeveer 'n miljard getalle.
Om die reeks te verklein, neem ons slegs die kodes wat werklik vir enige operateur geregistreer is en gooi die res weg. Gevolglik word die reeks twee keer kleiner, ongeveer 'n halfmiljard getalle.
Vervolgens genereer ons sha256 uit alle getalle en stoor slegs die eerste 3 grepe van elke hash. Ons voer hierdie lys in die Sqlite-databasis in, om die soektog te bespoedig, bou ons 'n indeks.
Dit is hoe die databasis lyk:
Alle Russiese telefoonnommers en die eerste drie grepe van die hash
Verder, met die hash van die slagoffer, kan ons soek vir alle passings in die databasis. Gewoonlik is daar 15-30 wedstryde per hash.
Alle nommers wat ooreenstem met die hash van die slagoffer
Dit is duidelik dat nie al hierdie getalle werklik gebruik word nie. Ons kan onnodiges afsny deur 'n HLR-versoek of 'n onsigbare SMS te gebruik. Van die 30 nommers in die netwerk blyk 5 te wees.
Die resultaat van die HLR-versoek. Nommers in die netwerk word in groen uitgelig.
Ek kan voortgaan om deur die nommers te sif, byvoorbeeld, hulle almal by Telegram / Whatsapp voeg en avatars sien, deur databasisse soos Getcontact ensovoorts kyk. Maar dit blyk makliker te wees om net al vyf nommers om die beurt te bel en te kyk wanneer die slagoffer se foon lui.
Teiken geleë
Alle
- Fluder op raspberry pi is baie onstabiel, jy moet ander enkelborde probeer.
- 'n Inheemse iOS-oorstromer sou baie beter wees, maar ek kon nie een vind wat op iOS 12-13 werk nie, selfs met 'n jailbreak.
- Die flooder.py script is baie dom. Dit kan waarskynlik 'n naamfoto genereer deur die naam van die ontvanger se toestelnaam te neem en die woord iPhone uit te stroop.
- Die metode om die telefoonnommer te bepaal kan geoptimaliseer word deur slegs die feit na te gaan dat die nommer met iMessage geassosieer word. Dit sal waarskynlik byna 100% tref.
Gevolgtrekking
Dit is die perfekte vermaak vir die metro. Daar is 'n wow-effek, nuuskieriges stel hierin belang. Baie improvisasie, daar was baie nuuskierige gevalle. Dit blyk dat baie mense gereed is om saam te speel en selfs hul planne te kanselleer om by jou metrostasie af te klim en koffie te gaan drink. Gedurende die jaar het ek 'n klomp mense ontmoet en ek gaan voort om met sommige te kommunikeer.
Soms skakel ek die vertoning van die Telegram-aanmelding af en geniet dit .
Bron: will.com