Tinderの代わりにAirDropを使用する方法

Apple デバイスには優れた Airdrop 機能があり、デバイス間でデータを送信するために作られています。 この場合、デバイスのセットアップや事前のペアリングは必要なく、箱から出してすぐに XNUMX 回クリックするだけですべてが機能します。 データ転送には Wi-Fi 経由のアドオンが使用されるため、データは高速で転送されます。 同時に、いくつかのトリックを使用すると、ファイルを送信するだけでなく、地下鉄で同じ車両に乗っている人の電話番号を知ることもできます。

ここ XNUMX 年間、私は通勤中、公共交通機関、公共のケータリング施設で興味深い知り合いを作るためにこの機能を使用してきました。 平均して、私は一日に数人の新しい知り合いを作ることができ、時には新しい人と一緒に地下鉄を降りることもあります。

カットの下で、すべての柿について説明します。

AirDropはどのように機能しますか?

AirDrop は、ピアツーピア ネットワーク内でファイルを転送するためのプロトコルです。 通常のローカル ネットワーク上でも、Apple デバイス間の無線でも機能します。 最後のケースは、XNUMX つのデバイスが共通のネットワークに接続されていないが、単に近くにある場合です。たとえば、電話を持った XNUMX 人が地下鉄の車内で移動していて、共通の Wi-Fi に接続されていない場合です。

AirDrop による送信の最初の段階では、BLE パケットを送信します。

AirDrop 経由でデータ転送を開始するために、開始者の電話機は、AWDL (Apple Wireless Direct Link) 経由で接続を確立するための提案とともに、開始者のデバイスの所有者の iCloud アカウントと電話番号に関するハッシュ情報を含む BLE ブロードキャスト パケットを送信します。 ) プロトコル、Wi-Fi のようなもの。Android の世界からの Fi Direct。 この BLE パケットの構造は非常に興味深いので、さらに分析していきます。

受信側では、AirDrop は次の XNUMX つの状態になります。

• オフ - まったく検出されません
• 連絡先のみ — アドレス帳の連絡先からのみファイルを受け入れます。 この場合、連絡先は、icloud アカウントがリンクされている電話番号または電子メールとみなされます。 ここでも、iMessages メッセンジャーの場合と同じアカウントリンクのロジックが機能します。
• すべてのために - 電話は誰にでも見えるようになります

AirDropのプライバシー設定。 デフォルトのステータスは「連絡先用」に設定されています。

プライバシー設定に応じて、電話機は AWDL 経由で接続の確立を続行するか、BLE パケットを単に無視します。 AirDrop が「全員向け」に設定されている場合、次のステップでデバイスは AWDL 経由で相互に接続し、デバイス間に IPv6 ネットワークを作成します。その中で、AirDrop は標準の IP プロトコル上で mDNS を使用する通常のアプリケーション プロトコルとして機能します。

実験として、MacBook 上で AWDL がどのように動作するかを観察できます。 このプロトコルでのすべての交換はインターフェイスを通じて行われます awdl0これは、Wireshark または tcpdump を使用して簡単にキャプチャできます。

この段階で、次の XNUMX つのエンティティがわかっています。

Bluetooth LowEnergy (BLE) パッケージ - このパケットには、発信者が連絡先リストに含まれているかどうかを電話機が判断するためのデータが含まれています。
Apple ワイヤレス ダイレクト リンク (AWDL) — Apple の Wi-Fi Direct に代わる独自の機能で、BLE 経由の通信が成功した場合に有効になります。
AirDrop - mDNS、HTTP などを使用して通常の IP ネットワーク内で動作するアプリケーション プロトコル。 あらゆるイーサネット ネットワーク内で動作可能。

BLEパケットの構造

この BLE パケットは開始者から受信者に XNUMX 回だけ送信され、その後の交換は AWDL 経由でのみ行われるように見えるかもしれません。 実際には、AWDL 接続の存続期間は非常に短く、わずか数分以下です。 したがって、ファイルの受信者があなたに応答したい場合は、受信者もイニシエーターとして機能し、BLE パケットを送信します。

受信側の電話は、発信者の番号/電子メールが連絡先リストにあるかどうかをどのようにして認識するのでしょうか? 答えを知ったとき、私はとても驚きました。 開始者は自分の番号と電子メールを sha256 ハッシュとして送信します、完全ではなく、最初の 3 バイトのみです。

AirDrop イニシエーターからの BLE パケットの構造。 応答側は、電話番号と電子メールのハッシュを使用して、開始者が連絡先リストに含まれているかどうかを把握します。

たとえば、Apple アカウント (別名 iCloud、別名 iMessages) が番号 +79251234567 にリンクされている場合、そこからのハッシュは次のように計算されます。

echo -n "+79251234567" | shasum -a 256
07de58621e5d274f5844b6663a918a94cfd0502222ec2adee0ae1aed148def36

その結果、BLEパケット内の値が飛んでしまいます 07de58 電話番号の場合。 これでは十分ではないように思えますが、多くの場合、実際の電話番号を見つけるにはこれら XNUMX バイトで十分です。

AirDrop のプライバシー設定は BLE パケット内のデータには影響しないことを覚えておくことも重要です。 「全員に」設定が設定されている場合でも、電話番号のハッシュが含まれます。 また、共有ウィンドウを開いたときと Wi-Fi ネットワークのパスワードを入力したときに、電話番号のハッシュを含む BLE パケットが送信されます。

BLE パケットの構造とそれに対する考えられる攻撃の詳細な分析については、調査結果を参照してください。 アップルブリー とロシア語 ハブレへの翻訳.

Apple Bleee の調査では、BLE パッケージのデータ分析を自動化するための既製の Python スクリプトが公開されました。 研究を調べてプログラムを試してみることを強くお勧めします。世の中には興味深いものがたくさんあります。

AWDL (Apple ワイヤレス ダイレクト リンク)

AWDL は、Wi-Fi Direct のようなものを実装する、通常の Wi-Fi への Apple 独自のアドオンです。 私はそれがどのように機能するのか完全には知りませんが、チャネルの発表と調整には特別な方法があり、それは独自の Apple ドライバーでのみ機能します。 つまり、AWDL 経由で接続できるのは MacBook/iPhone だけです。

悲しいことに、Android スマートフォンの所有者は、Wi-Fi Direct 機能が適切に動作することをまだ夢見ているだけです。

でも、少し前までは、 シームーラボ AWDL の完全なオープンソース実装を作成し、それを呼び出しました ワイヤレスリンクを開く （フクロウ）。 OWLを実行するには、Wi-Fiアダプターがモニターモードとパケットインジェクションをサポートしている必要があるため、すべてのハードウェアで実行できるわけではありません。 このサイトには Raspberry pi での設定例が掲載されています。 これは、元の AWDL よりも動作が大幅に悪くなります。たとえば、接続セットアップ時間は元の AWDL では数秒ではなく、約 10 秒延長されますが、動作します。

また、彼らは Python で AirDrop プロトコルの実装を最初から作成しました。 オープンドロップ。 これは、Linux 上で AirDrop を起動するための OWL と組み合わせて使用​​することも、macOS 上で元の AWDL と組み合わせて使用​​することもできます。

AirDrop経由でロールアップする方法

AirDrop によるロールアップの一般的な状況

退屈な理論はもう十分です。実践を始めましょう。 つまり、必要な装備をすべて備えており、高度なテクノロジーを使用して前進し、ボールを巻き上げる準備ができています。

まず要点を覚えておく必要があります:

• AirDrop は携帯電話のロックが解除されている場合にのみ機能します – ターゲットが常に携帯電話を見ているのが最善です。 ほとんどの場合、これは地下鉄などの退屈な場所で発生します。
• 時間が必要 — 通常、ポジティブ変換は送信された 3 ～ 5 番目の画像で発生するため、同じ場所で少なくとも 5 分間の静かな時間が必要です。 私はポジティブなコンバージョンとは、AirDrop 経由でメッセンジャーでのコミュニケーションを続けることに同意した瞬間であると考えています。 これを即座に実装するのは困難です。なぜなら、誰がペイロードを受け入れたのかがすぐには分からず、おそらく何かに同意する前にウォームアップすることになるからです。
• パーソナライズされたクリエイティブの効果が向上 — AirDrop 経由で送信するメディア コンテンツをペイロードと呼びます。 ミームを含む単なる写真では何も起こらない可能性が高く、コンテンツは状況に関連しており、行動を促す明確な内容である必要があります。

古典的な方法 - 電話だけ

iPhone を持っているすべての人に適しており、ソーシャルスキル以外の特別なスキルは必要ありません。 AirDrop をEveryone モードに切り替えて、地下鉄に行きます。 ごく普通の日（自主隔離前）、モスクワの地下鉄車内で私は次のようなことを観察した。

対象一覧

ご覧のとおり、ほとんどすべての電話は所有者の名前をブロードキャストします。これにより、所有者の性別を簡単に判断し、適切なペイロードを準備できます。

ペイロード

上で書いたように、固有のペイロードの方がより適切に機能します。 理想的には、写真には所有者の名前が記載されている必要があります。 以前は、メモ アプリケーションのグラフィック エディターと、ある種のモバイル Photoshop スタブを使用して創造性を形にする必要がありました。 その結果、必要な絵が描かれるまでに、すでに車から降りる必要がありました。

私の友人のアーニャ コティーク特に私のリクエストに応じて、必要な写真とキャプションをその場で生成する Telegram ボットを作成しました。 @AirTrollBot。 以前よりもはるかに技術的にボールを転がせるようになったという事実に、彼女にとても感謝しています。

ボットにテキスト行を送信するだけで十分です。ボットは、AirDrop ウィンドウでのプレビューのアスペクト比と正確に一致する画像の形式でテキストを生成します。 ボタンを押すと、画像内の文字を選択できます。 オプションで、隅の画像に Telegram ログインを追加できるようにすることもできます。

ペイロードジェネレータ

最悪の点は、何もせずに被害者の画面に写真がすぐに表示されたことです。 「同意する」をクリックする必要さえありませんでした。 ペイロードをロードした瞬間の顔の反応がわかりました。 残念ながら、iOS 13 以降、身に覚えのない連絡先からの写真は画面に表示されなくなりました。 以前の様子は次のとおりです。

iOS ≤12 で配信されるペイロード

現在は、プレビューの代わりに、送信者のデバイスの名前のみが表示されます。 したがって、iOS 13 以降の被害者に名前で連絡する唯一の方法は、デバイスの設定で設定することです。たとえば、電話に「ユリア、こんにちは」と電話をかけることです。 ヒント: デバイス名に絵文字を使用できます。 もちろん、この方法は写真ほど明るくはありませんが、「同意する」ボタンをクリックする可能性が大幅に高まります。

アクションの詳細な説明は技術記事の範囲を超えており、あなたの想像力、即興演奏、ユーモアにのみ依存します。 このゲームに参加して写真やメモを送って返信し始める人は、通常、非常に陽気で、オープンで、興味深い人であるとしか言えません。 写真を見た後、単に応答しないか、さらに悪いことに、単にメッセージを拒否する人は、通常、退屈な俗物で傲慢です。 恐怖の要素もしばしば役割を果たします。傷つきやすく臆病な人は、そのような傲慢な匿名の見知らぬ人と交流することを恐れます。

自動ピックピック機

ペイロードを手動で生成して送信するのが面倒で、プロセスを自動化したい場合は、バックグラウンドで範囲内の全員に AirDrop 経由で写真を送信する自動音声選択マシンを作成できます。 ハードウェア プラットフォームとして raspberry pi zero を使用しますが、Linux を搭載した任意のコンピューターで問題ありません。主なことは、Wi-Fi カードがモニター モードとパケット インジェクションをサポートしていることです。

Raspberry pi zero w + UPS Lite バッテリーシールドをベースとした Airdrop 経由のスピーカー送信機

脱獄 iPhone 用の AirDrop フラッダー プログラムがあり、ラズベリー パイのオープン バージョンよりも安定して動作します。

ラズベリーパイでのOWLのセットアップについては、以下で詳しく説明されています。 プロジェクトサイト, しかし、私は Raspberry Pi Zero 用の Kali Linux ビルドを使用することを好みます。これは、rpi0 で Wi-Fi モニター モードを有効にするための nexmon パッチがすでにインストールされているためです。

Airdrop (または AWDL) は、BLE パケットを受信した後にのみ患者に対してアクティブ化されることに留意することが重要です。 したがって、数秒間隔で送信する必要があります。 これはユーティリティを使用して実行できます py-bluetooth-utils。 start_le_advertising() 関数を使用して、apple bleee の例からデータ文字列を送信します。 000000000000000001123412341234123400.

OWLデーモンが動作したら、フォークを起動できます。 オープンドロップ。 リポジトリにスクリプトがあります flooder.py、全員に写真を送信します kak_dela.jpeg.

私の観察によると、ラズベリーパイゼロwはモニターモードでは不安定です。 約 20 分間アクティブなフラッダー操作が行われた後、Wi-Fi サブシステムがクラッシュします。 この問題は著者によって説明されています プナゴッチ、おそらく過熱が原因と考えられます。 ウォッチドッグを提供するか、より安定したハードウェアを使用する必要があります

マニアチェロ モード - あなたの電話番号は知っています

自分を不適切なマニアとして見せ、コミュニケーションを続ける意欲を永久に妨げたい場合は、近くにいる人の電話番号を調べてみることができます。

前に学んだように、イニシエーターによって送信される BLE パケットには、sha256 電話番号の最初の XNUMX バイトが含まれています。 このハッシュは、被害者が「共有」ボタンをクリックしてエアドロップデバイスのスキャンを開始するか、入力フィールドで新しいネットワークの Wi-Fi パスワードをタップすると捕捉される可能性があります（このようにして、Apple は要求できる範囲内で友人を探します）ネットワークパスワード）。

被害者からのハッシュ メッセージを何らかの方法でトリガーしてキャッチする必要があります。 リポジトリのユーティリティを使用しています アップルブリー。 デバイスの Bluetooth MAC アドレスはランダムで常に変化するため、このリストから目的のデバイスを特定するには別の方法を見つける必要があります。 iOS が画面オフ、画面オン、ロック画面、ロック解除などの電話の現在の状態をブロードキャストするため、タスクが簡素化されます。 したがって、被害者の行動を観察するだけで、デバイスの現在の状態をテーブル内のデバイスと比較できます。 最も簡単な方法は、ユーザーがポケットから電話を取り出し、画面をオンにして、指または顔で電話のロックを解除する瞬間を捉えることです。 これらすべてはスニファーで確認できます。

アイコン Х 電話ハッシュを含むパケットが捕捉されたことを意味します。

彼らのパーサーは時々壊れますが、ほとんどの場合は機能します。 この脆弱性の本質は Apple Blee の作成者によって詳細に分析されているため、完全には語りません。私の経験のみを説明します。 CSR 8510 チップ上の USB Bluetooth アダプタを使用しているとだけ言っておきます。これは、MacBook に組み込まれて仮想マシンに挿入された Bluetooth アダプタよりも動作がはるかに安定しているためです。

そこで私たちは被害者の電話からハッシュを捕捉し、電話番号のハッシュから待望の XNUMX バイトを受け取りました。

ユーティリティを使用して電話番号ハッシュを含む BLE パケットを傍受 read_ble_state.py

ロシアではすべての携帯電話番号がコード +79 で始まることがわかっており、おそらく被害者の電話も同じコードを持っていると考えられます。 +79000000000 から +79999999999 までの約 XNUMX 億個の数値があることがわかりました。

範囲を狭めるために、実際にオペレータに登録されているコードのみを取得し、残りは破棄します。 その結果、範囲は半分の約 XNUMX 億個の数値になります。

次に、すべての数値から sha256 を生成し、各ハッシュの最初の 3 バイトのみを保存します。 このリストを Sqlite データベースに入力し、検索を高速化するためのインデックスを構築します。

データベース内のデータは次のようになります。

ロシアのすべての電話番号とハッシュの最初の XNUMX バイト

次に、被害者のハッシュを取得すると、データベース内のすべての一致を検索できます。 通常、ハッシュごとに 15 ～ 30 個の一致があります。

被害者のハッシュに一致するすべての数字

明らかに、これらの数値のすべてが実際に使用されるわけではありません。 HLRリクエストや目に見えないSMSを使用して不要なものを遮断できます。 30 件の番号のうち、5 件はオンラインで見つかりました。

HLR リクエストの結果。 ネットワーク番号は緑色で強調表示されます。

たとえば、番号をすべて Telegram/Whatsapp に追加してアバターを確認したり、Getcontact などのデータベースを確認したりして、番号を調べ続けることができます。 しかし、XNUMX つの番号すべてに XNUMX つずつ電話をかけ、被害者の電話が鳴るのを監視する方が簡単であることが判明しました。

ターゲットが見つかりました

藤堂

• ラズベリーパイのフラッダーは非常に不安定なので、他のシングルボードを試す必要があります。
• iOS 用のネイティブ フラッダーの方がはるかに優れていますが、脱獄しても iOS 12 ～ 13 で動作するものが見つかりませんでした。
• Flooder.py スクリプトは非常に愚かです。 おそらく、受信者のデバイス名から名前を取得し、iPhone という単語を切り取ることで、パーソナライズされた写真を生成できるでしょう。
• 電話番号の決定方法は、その番号が iMessage にリンクされているという事実のみを確認することで最適化できます。 これにより、ほぼ 100% のヒット率が得られます。

まとめ

これはメトロにぴったりのエンターテイメントです。 すごい効果があり、好奇心旺盛な人はこれに興味を持ちます。 即興がたくさんあり、とても面白いケースがありました。 多くの人が、地下鉄の駅で降りてコーヒーを飲みに行くために、喜んで計画をキャンセルしたり、予定をキャンセルしたりする準備ができていることがわかりました。 この一年を通して、私はたくさんの人に会い、その中の何人かとは今もコミュニケーションを続けています。

時々 Telegram のログインをオフにして楽しんでいます このように.

出所： habr.com