Como ya se explicó en el ataque DirtyTooth Hack, si se quiere meter un módulo malicioso que cambie el comportamiento del BlueTooth Speaker para convertirlo en un Rogue DirtyTooth Speaker, como primer paso se requiere remplazar el módulo BlueTooth original por el nuevo módulo creado. En este artículo vamos a ver los detalles concretos del reemplazo en un BlueTooth Speaker modelo Marshall Killburn, que es el que utilizamos para la prueba de concepto.
Como ya explicó, para hacer el módulo BlueTooth malicioso se había construido un sistema que contenía, en un módulo Teensy v3.2, un módulo BlueTooth BC127 de BlueCreation , un módulo GSM/GPRS SIMCOM800C, un módulo BlueTooth HC-05 para tener una conexión serie sobre BlueTooth, además de la tarjeta SD para almacenamiento de los datos.
Para introducir ese módulo malicioso de BlueTooth, primero hay que retirar el módulo original para poder reemplazarlo. En este altavoz en concreto el sistema BlueTooth se basa en un módulo BTM8630, con el chip CSR8630, pero acompañado de abundante electrónica adicional, destacando un doble amplificador operacional JRC NJM4560M.
En la placa que monta el conjunto de pueden identificar las conexiones siguientes:
Tanto el chip original CSR8630 como el BC127 que lo reemplazará, presentan salidas de audio analógicas como corriente alterna de unos 600mVpp como máximo para cada uno de los canales, y ambos acompañados de su señal complementaria diferencial, para posibilitar la reducción de interferencias, tal y como se puede apreciar en la siguiente captura.
Pero al parecer, la electrónica que acompaña al módulo original, especialmente el doble amplificador operacional, se utiliza para montar la señal de audio sobre un offset de corriente continua de 2.6v, lo que debe ser un requisito de diseño del amplificador Marshall.
La necesidad de satisfacer este requisito sin disponer del esquema original obliga a diseñar un circuito equivalente que presente un comportamiento similar. Para ello se utiliza un doble amplificador operacional Texas Instruments RC4060, de prestaciones similares al original, en configuración de restador de una tensión de referencia de 2.6v proveniente de un regulador lineal A78L02 a la señal complementaria diferencial, cuyo resultado es una señal de audio fiel a la orinal, incluso más nítida si cabe, sobre la portadora de continua esperada.
Este circuito se realiza sobre una placa con un conector compatible con la original, donde se añaden los conectores necesarios para la alimentación a 5v del resto de módulos, un pequeño relé para la desconexión de la batería de litio que requiere el modem GSM.
Se incorpora también un transistor para invertir la lógica de la señal de desconexión del amplificador OFF, ya que aunque Blue Creation no lo documenta, su salida GPIO_03 cambia de estado según esté un audio en reproducción, utilizándose para desconectar el amplificador y evitar los molestos ruidos POTHS!!! entre cambios de audio, tal y como lo realiza el módulo original.
Una vez dispuestos todos los componentes, su interconexión se realiza tal y como se muestra en el diagrama de la Figura 9 superior. La tensión de alimentación de todos los módulos (INPUT +5vcc) se obtiene mediante la adición de una conexión al regulador lineal de 5 voltios presente en el circuito del amplificador. Aunque de formato SMD, puede llegar a entregar hasta 1.3 amperios, algo que parece más que suficiente para su cometido original y el escaso consumo de los módulos adicionales.
El resultado final conectado al altavoz Marshall Killburn es el que se ve en la imagen superior, y el resultado final de la experiencia con el software es la que habéis visto en los vídeos del ataque DirtyTooth Hack.
Figura 11: Ataque de DirtyTooth Hack
Autor: Jorge Rivera, CSA de ElevenPaths
*********************************************************************************
- Dirtytooh hack site
- Libro de Hacking iOS: iPhone & iPad [2ª Edición]
- Conferencia DirtyTooth Hack en OpenExpo 2017
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (I de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (II de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (III de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (IV de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (V de V)
- DirtyTooth Hack: Reemplazar el módulo Bluetooth en Marshall Killburn
- DirtyTooth Hack: Seminario en Vídeo
- DirtyTooth para Raspberry Pi
*********************************************************************************
Figura 1: Cómo reemplazar el módulo BlueTooth en un altavoz Marshall Killburn |
Como ya explicó, para hacer el módulo BlueTooth malicioso se había construido un sistema que contenía, en un módulo Teensy v3.2, un módulo BlueTooth BC127 de BlueCreation , un módulo GSM/GPRS SIMCOM800C, un módulo BlueTooth HC-05 para tener una conexión serie sobre BlueTooth, además de la tarjeta SD para almacenamiento de los datos.
Figura 2: Esquema del hardware a introducir dentro del BlueTooth Speaker Marshall Killburn |
Para introducir ese módulo malicioso de BlueTooth, primero hay que retirar el módulo original para poder reemplazarlo. En este altavoz en concreto el sistema BlueTooth se basa en un módulo BTM8630, con el chip CSR8630, pero acompañado de abundante electrónica adicional, destacando un doble amplificador operacional JRC NJM4560M.
Figura 3: Ubicación del módulo BlueTooth original en el altavoz Marshall Killburn |
En la placa que monta el conjunto de pueden identificar las conexiones siguientes:
• R y L: parecen corresponderse con los canales de audio Right y Left.
• LED: se corresponde con el Led Bluetooth del panel en lógica negativa.
• 3.3v: tensión de alimentación estable a 3.3 voltios.
• ON: corresponde con la selección de entrada de audio HIGH en INPUT.
• 12v: tensión variable de 7 a 18v voltios de poca intensidad (nivel batería),
• PAIR: presenta un pulso en HIGH de 550ms de duración al pulsar PAIR.
• OFF: permite desconectar el sonido del amplificador en lógica negativa.
Figura 4: Módulo BlueTooth original en el altavoz Marshall Killburn |
Tanto el chip original CSR8630 como el BC127 que lo reemplazará, presentan salidas de audio analógicas como corriente alterna de unos 600mVpp como máximo para cada uno de los canales, y ambos acompañados de su señal complementaria diferencial, para posibilitar la reducción de interferencias, tal y como se puede apreciar en la siguiente captura.
Figura 5: Salidas en el chip original CSR8630 |
Pero al parecer, la electrónica que acompaña al módulo original, especialmente el doble amplificador operacional, se utiliza para montar la señal de audio sobre un offset de corriente continua de 2.6v, lo que debe ser un requisito de diseño del amplificador Marshall.
Figura 6: Señal de audio con offset |
La necesidad de satisfacer este requisito sin disponer del esquema original obliga a diseñar un circuito equivalente que presente un comportamiento similar. Para ello se utiliza un doble amplificador operacional Texas Instruments RC4060, de prestaciones similares al original, en configuración de restador de una tensión de referencia de 2.6v proveniente de un regulador lineal A78L02 a la señal complementaria diferencial, cuyo resultado es una señal de audio fiel a la orinal, incluso más nítida si cabe, sobre la portadora de continua esperada.
Figura 7: Señal de audio generada |
Este circuito se realiza sobre una placa con un conector compatible con la original, donde se añaden los conectores necesarios para la alimentación a 5v del resto de módulos, un pequeño relé para la desconexión de la batería de litio que requiere el modem GSM.
Figura 8: Placa con conector que ajusta la señal a los requisitos del Marshall Killburn |
Se incorpora también un transistor para invertir la lógica de la señal de desconexión del amplificador OFF, ya que aunque Blue Creation no lo documenta, su salida GPIO_03 cambia de estado según esté un audio en reproducción, utilizándose para desconectar el amplificador y evitar los molestos ruidos POTHS!!! entre cambios de audio, tal y como lo realiza el módulo original.
Figura 9: Diagrama con interconexiones finales al módulo adaptador |
Una vez dispuestos todos los componentes, su interconexión se realiza tal y como se muestra en el diagrama de la Figura 9 superior. La tensión de alimentación de todos los módulos (INPUT +5vcc) se obtiene mediante la adición de una conexión al regulador lineal de 5 voltios presente en el circuito del amplificador. Aunque de formato SMD, puede llegar a entregar hasta 1.3 amperios, algo que parece más que suficiente para su cometido original y el escaso consumo de los módulos adicionales.
Figura 10: Conexión Final en el altavoz Marshall Killburn |
El resultado final conectado al altavoz Marshall Killburn es el que se ve en la imagen superior, y el resultado final de la experiencia con el software es la que habéis visto en los vídeos del ataque DirtyTooth Hack.
Figura 11: Ataque de DirtyTooth Hack
Autor: Jorge Rivera, CSA de ElevenPaths
*********************************************************************************
- Dirtytooh hack site
- Libro de Hacking iOS: iPhone & iPad [2ª Edición]
- Conferencia DirtyTooth Hack en OpenExpo 2017
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (I de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (II de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (III de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (IV de V)
- DirtyTooth Hack: It´s only Rock'n Roll but I like it (V de V)
- DirtyTooth Hack: Reemplazar el módulo Bluetooth en Marshall Killburn
- DirtyTooth Hack: Seminario en Vídeo
- DirtyTooth para Raspberry Pi
*********************************************************************************
Felicidades. Muy elegante.
ResponderEliminar