裸奔的智能插座：博联Broadlink SP2/SP mini的分析、破解

https://www.jianshu.com/p/028b10bc3dd1

智能设备的联动通常采用IFTTT的方式，但这种方式受限于官方软件提供的功能。想要自主地灵活控制，需要有官方SDK，或知道协议细节。本文通过捕获、分析Broadlink SP设备（含SP2和SP mini）的协议数据，达到重放（replay）控制的效果。在这个过程中，对其安全性也有了更深入的认识。

有前人做过类似的工作，但抓包过程较为繁琐。本文的方法比较便捷，可以很容易地进行本地和远程的分析。这个方法也可供研究其它智能设备时借鉴。

在路由器上用tcpdump抓包，基本行为研究

家里的路由器是刷了OpenWRT的，所以可以直接尝试在路由器上用tcpdump抓包。

实验1：不打开任何App时，观察插座上的活动。

命令：tcpdump -i ra0 udp and host sp3 -U -s0 -w /tmp/tmp.pcap -c 30 -vvv
(sp3是我的第3个SP类型的设备，并不是指型号；上面的命令是抓到30个UDP包就停止)

在Wireshark中打开抓获的pcap文件：

 

image.png

可以看到：大约每25秒，插座会向Broadlink的服务器（112.124.35.104）报告一次自己的状态。可称之为在线状态报告。

实验2：在4G网络下（不用Wi-Fi），打开手机App对应的插座状态界面

 

image.png

可以看到，大约每3秒，插座会向Broadlink的服务器（112.124.35.104）报告一次自己的开关状态。当然，数据里还有在线状态报告。通过包的长度很容易区分出来。

3秒的间隔应该是App端决定的，其实是App向Broadlink服务器询问插座开关状态，服务器再来问插座的。

局域网内抓包的问题

当手机在家里或在家外时，控制智能插座的原理是不一样的。手机和插座在同一个局域网内时，它们是直接通讯，不需要借助于服务器的。

但在无线路由器上，其实是抓不到两个Wi-Fi设备之间的通讯的。也许这些通讯由Wi-Fi硬件直接处理，不经过路由器的系统（驱动）。而且我试了，一方接在2.4G上，另一方接在5G上，也是一样抓不到数据。

要抓取局域网内的两个无线设备的通讯，传统的办法是把PC变成AP，让它们的流量经过PC，然后用抓包软件抓取。但这需要对设备重新部署、配置，比较折腾。

用无线网卡的monitor模式，使用Wi-Fi sniffer，也是一种选择。但对于加密的无线网络，比较麻烦。而且是从数据链路层分析应用层的数据，略感舍近求远。

因为无线路由器上可以抓到局域网内有线设备和无线设备之间的通讯，所以还有另一个选择：把手机变成有线的！

Android模拟器Genymotion

在PC上运行Android模拟器，我们就有了一个连在有线网络上的手机了（前提当然是PC连在有线网络上），从而可以继续在无线路由器上抓包。

Android的模拟器有不少，我一般用Genymotion。Genymotion默认不支持ARM，但有好人弄了翻译器。新版的Genymotion好像只在Android 6.0, 5.0上有翻译器的支持。

当然，如果App支持x86架构，或与架构无关（纯Java的），也是不需要ARM翻译器的。但Broadlink App（易控）不是这样的。

 

image.png

最后，Broadlink App能在Android 6.0的模拟器上正常运行。

 

image.png

另外，在Genymotion的设置中使用网桥模式，这样，模拟器和Broadlink设备在同一网段。

局域网内行为研究

实验3：在局域网内，Android模拟器上点击开/关时，在OpenWRT上用tcpdump抓包

 

image.png

这些包里有3秒一次的开关状态包。都是QUIC协议114字节。根据时间的周期性，可以看出哪些包是对应于开关控制的，比如上图中的第2和第4个包。

为了重新发送这些数据包，写了一个简单的Python脚本sendpcap.py，对pcap文件进行简单解析，主要是确定每个包的分隔，哪些是头部，哪些是Payload，并可以发送指定序号的一个或多个包。

实验4：在局域网内，重新发送pcap里的某个指定的UDP包，可以控制SP插座的开和关。

命令：sendpcap.py sp3 sp3-lan-phone-onoff.pcap 2

发送第2个包会开启插座。

 

image.png

尽管每个包的数据不完全一样，但这些包都可以用于控制插座。实测一年以后还有效（当然，只对于同样网络环境下的同一个设备）。

所以，对每个设备采集一段样本数据，确定哪个包是控制开的，哪个包是控制关的，就可以实现对不同插座的自主控制了。

远程行为研究

那么，这种重放机制对于远程控制插座是否有效呢？

对于远程交互，由于家里路由器上收到的只是进入设备的数据，而且，有些交互数据不一定会流入设备（也许是和Broadlink服务器交互）。所以，需要把抓包环境搭建在远程端，抓获远程手机端的流出数据。

其实，在root的Android上也可以安装tcpdump的。更好的是，Genymotion的Android已经自带tcpdump了。

实验5：在远程网络上，在Android模拟器上通过tcpdump抓包

命令：tcpdump -i eth1 -U -c 300 -vvv -w xxx.pcap

 

image.png

结果出乎意料，没有任何直接指向家里的数据流，只有和Broadlink服务器的数据往来。

 

image.png

用同样的方法，我们可以重发这些数据包。下图中，数据包128对应于关播座，154对应于开插座。

实验6：在远程网络上，通过重新发送pcap里的某个指定的包，可以控制家中的SP插座的开和关

命令：sendpcap.py 112.124.42.42 xxx.pcap 154

 

image.png

就这么轻松，发一个独立的数据包给Broadlink的服务器就能控制家里的插座了，没有任何上下文，数据也不会过期（实测一天之后也可以用）。

结语

有了基于OpenWRT的无线路由器，或基于Genymotion的Android模拟器，我们便可以很容易地在路由器或Android上用tcpdump抓取Broadlink SP设备的网络数据包，从而分析其协议。

 

image.png

在局域网内控制Broadlink插座，并不需要Broadlink服务器的参与；而远程控制插座，则都要借助于服务器。

重新发送截获的 UDP／QUIC数据包就可以控制插座。不管是SP2，还是SP mini，不管是局域网，还是远程的，都可以。但必须用在对应环境下、对应设备的数据包。对同一设备，每次抓获的数据包都不完全相同，但用任何一个都有效，且不会过期，没有会话上下文。

可见，这个安全性是很低的，形象地说，就是“裸奔”。只要在网络上截获发往Broadlink服务器或SP设备的UDP包，便很容易实现“重放攻击”。当然，我们也可以用这一原理来自主地控制插座。比如，我曾用程控电源给锂电池充电，当树莓派检测到电流或电压达到一定值时，便从树莓派上发UDP包关闭插座，从而彻底关闭程控电源； 当电压过低时，便发包打开电源充电。这些，是用手机App无法整合的。

所以，这事有两面性：不安全，但便利。

参考

1. broadlink的智能插座sp2简单分析. 没有去验证这篇文章中的抓包方式，只是从这篇文章得知重放攻击的可行性。另一方面说明3年来，Broadlink的这一不安全的方式并没有改进。
2. 博联易控App下载. 当前最新的版本确定可以在Genymition的Android模拟器上运行，但需要ARM翻译器。

作者：萝卜头实验室
链接：https://www.jianshu.com/p/028b10bc3dd1
來源：简书
简书著作权归作者所有，任何形式的转载都请联系作者获得授权并注明出处。