*本文作者:scu-igroup,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
前言
万物互联的时代即将来临,而现阶段,我们能感触到的,当属智能家居设备了。目前,IoT智能家居设备可谓种类繁多,琳琅满目,我们房间也按照实际需要买了些小米智能家居设备,使用相当方便,下载米家APP,手机上就能操控。那它到底是怎么实现的操控呢,既然,我们是搞流量分析的,那就先从流量开始吧。
当我们开始吧
这次实验主要分析了三款小米的智能家居设备,如下为:
小米空气净化器
小米LED智能台(也可以下载yeelightAPP进行操作)
小米多功能网关
我们就先从空气净化器开始吧,首先需要知道IoT设备的IP地址,这里有两种比较直接的方法知道设备IP地址,第一种是在APP中添加好设备后,查看设备信息;如查看不到,采用第二种方法,即用小米提供的工具miio查看(这部分后门在介绍)。
找到设备的IP之后,就得想办法获取到进出设备的流量数据包,由于是在同一个局域网中,我们采用ARP欺骗攻击,扮演中间人角色,让设备流量从我的主机经过。攻击的工具为著名的ettercap,攻击命令为:
ettercap -ienp3s0 -T -q -M ARP:remote /192.168.9.253// /192.168.9.150//
运行这条命令,会让网关认为我的主机是IoT设备,让设备认为我的主机是网关,以达到窃听流量的目的。该工具在Ubuntu16.04上可直接安装,更多高级用法,读者可自行搜索。
我们首先来看看抓到的数据包,以IP地址为条件过滤一下,如下图所示:
从图中可以看出,设备的命令控制包为UDP传输,既然是UDP协议传输,那么是否可以通过命令包重放攻击来对设备进行控制?
带着这样的疑问,我们先来写一个数据包重放的脚本试一试:
脚本如上所示,红框黄字部分为开\关空气净化器命令字符串的16进制转码,重放开\关空气净化器设备的脚本,运行该程序,发现净化器没有相应。开wireshark抓包,确认数据包已经发送出去,但命令没有生效,怀疑是设备自身有验证。要解决这个问题,只有分析下应用层协议了。分析应用层协议,最好是能拿到网络通信代码,否则将会是一个费时费力的工作。
幸运的是,了解到在homeassistant中可实现对小米设备的集成,并在其中对设备进行管理和操作。Homeassistant,主要以Python语言开发,既然它能操控小米设备,那它底层肯定有相关的函数调用库。带着这个线索,我开始研究homeassistant,在安装的过程中,发现了miio库,由它可实现对小米部分设备的操作,主要参考这篇文章。Github上分享有miio的开源项目,大喜,不由自主先点了个赞。
首先看看这个库中支持的设备有哪些呢,如下图所示:
可以看到,支持的智能家居种类还是不少,但要使用它,还是需要安装一些依赖包,这些依赖包可以用pip3直接安装:
sudo pip3 install -r requirements.txt
再来看看它的源码程序,在miio文件夹下,发现了airpurifier.py和protocol.py,这两个文件,不是我正想要的么,分析之,并了解它们之间的调用关系。
在AirPurifier中,继承了Device类,主要的应用层数据封装和发送都是在Device类中完成。
上图为Device类的初始化函数,由图中看,只需要知道设备的IP地址和token传入即可。先通过miio工具获取ip和token。
在Ubuntu下,先安装miio,再进行设备发现:
npminstall -g miiomiiodiscover
如上图所示,为扫描到空气净化器相关参数,而用到的传输协议可以在protocol.py的message封装中窥探一二。
如上图所示,为应用层各字段封装,data字段为加密字段,这说明想要通过中间人攻击的方式修改该字段的内容,看来不容易。
那么如何用miio的Python库程序,用脚本完成对空气净化器的控制。如下脚本所示:
运行脚本,不一会儿,听到了空气净化器清脆的响声,并且是开一次,关一次,这样循环,刚好同我的程序逻辑一样。直接用miio库开关空气净化器的程序,那再来分析下小米台灯呢。
先来看看miio库是否支持小米智能台灯yeelight,如下所示:
看来是支持的,但仅仅提供很有限的支持,完整的支持要用python-yeelight库。这个库可直接安装,操作也十分方便,如下为开启等操作:
>>> from yeelight import Bulb
>>> bulb = Bulb("192.168.0.5")
>>> bulb.turn_on()
但要使用这个库,需要用YeeLightAPP将台灯设置为开发者/局域网模式。代码如下所示:
初始运行这个脚本,发现存在socket连接不上的错误,原因是小米智能台灯采用的是TCP连接,如果已经有设备连接到台灯,我们再去连接,就会存在连接不上的错误。
解决方法是:
我这里采用了try, except的错误处理方式,遇到错误,继续循环连接。这样可以将原来的连接挤下去,从而只响应脚本的控制命令。果然,这个脚本运行一段时间后(大概40秒左右),台灯开始有规律开关,符合我的脚本逻辑。
对于小米多功能网关,同样具有开发库(见这里,小米真是一家“开放”的企业^^),它的通信协议也是采用的UDP协议,除了key部分用到了加密算法,其他部分为明文传输。也正因为key字段这部分,我们重放数据包却没有成功,返回的数据包中有Invalid key字段。如下图所示:
在整个与网关的通信中,key会不断地进行交换,这可能就是导致我们重放攻击失败的原因。对于脚本控制小米网关设备,它的调用过程稍显复杂,主要是没有弄清它的传参的过程。感兴趣的朋友可以自己去安装一个homeassistant,看在这里面是如何调用相关函数的。到此为止,三款小米设备基本都介绍完了。本文证明了用脚本控制小米的智能家居设备是可行的,虽然只做了简单的开\关测试,但可以做一个抛砖引玉的作用,更多高级脚本的功能探索,感兴趣的朋友可以继续深入下去。
本次实验所有的代码和数据包,见项目:https://github.com/scu-igroup/ControlXiaomiDevices。
总结
小米智能家居设备配合着APP确实方便好用,本想着研究下它的通信协议,没想到在此过程中,发现小米的这些设备都能利用公开的函数库,并编写脚本程序进行控制,实在是意外的收获。大家如果感兴趣,也可以来实验一把,如果有新的点子,欢迎一起交流。
*本文作者:scu-igroup,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。