WO2010048776A1

WO2010048776A1 - 一种obex协议漏洞挖掘方法及其系统

Info

Publication number: WO2010048776A1
Application number: PCT/CN2009/001168
Authority: WO
Inventors: 张玉清; 宋杨; 成厚富; 刘奇旭; 陈深龙
Original assignee: 中国科学院研究生院
Priority date: 2008-10-28
Filing date: 2009-10-22
Publication date: 2010-05-06
Also published as: CN101431809A; CN101431809B

Description

一种 OBEX协议漏洞挖掘方法及其系统技术领域

本发明涉及一种漏洞挖掘方法及系统，特别涉及到一种 OBEX协议漏洞挖掘方法及其系统,属于软件工程技术领域。背景技术

OBEX ( Object Exchange ) 即对象交换协议，是蓝牙协议栈、红外线协议栈等的面向应用层的协议，该协议支持文件传输、对象 push、同步等多种应用，提供了设备之间简单易行的对象交换手段。目前， OBEX协议已经被广泛地应用于笔记本电脑、移动电话、个人数字助理（PDA)、数字相机等各种设备之间进行数据的交换。随着我国移动个人终端使用数量的激增， OBEX协议漏洞所导致的安全隐患，已经成为了亟需解决的重要安全问题之一。

然而，目前 OBEX协议在个人计算机平台上的驱动开发包大多为国外大型 IT商业公司垄断，安全研究人员难以利用计算机平台依照传统的漏洞挖掘方法对 OBEX协议进行安全检测工作。

随着智能手机近年来在计算能力上的飞速发展，将传统的漏洞挖掘方法从计算机平台移植到智能手机平台成为可能。特别的，智能手机平台提供了对 OBEX协议的底层开发驱动，因此，在智能手机平台上应用传统的漏洞挖掘方法，针对 OBEX协议漏洞开展安全检测工作，将成为安全研究人员的一个重要选择。发明内容

本发明的目的在于针对 OBEX协议漏洞，提供一套快速的安全检测方法及其系统。该方法可以针对所有使用 OBEX协议进行通信的终端设备进行安全检测工作，从而弥补当前国内外在此项研究领域的空白。

本发明的技术方案为：

一种 OBEX协议漏洞挖掘方法，其步骤为：

1 ) 选定一釆用 OBEX协议通信的目标设备并与之建立通信连接；

2) 根据该目标设备 OBEX协议的脆弱点构造不同类别的畸形数据包；所述 OBEX 协议字段的数据类型包括：整数类型和字符串类型；所述畸形数据包包括但不限于下列数据包的一种或几种类型：整数溢出类型畸形数据包、超长字符串溢出类型畸形数据包、特殊字符异常类型畸形数据包、格式化字符串类型畸形数据包；

3 ) 将所述畸形数据包发送到所述目标设备并接收该目标设备的响应数据包；

4) 根据接收的响应数据包判断该目标设备的状态；

5 ) 对引发该目标设备状态异常的畸形数据包进行调试，确定该 OBEX协议的漏洞参数。

所述根据该目标设备 OBEX协议的脆弱点构造畸形数据包的方法为：根据该目标设备 OBEX协议的每一个脆弱点构造多份畸形数据包;其中每一份畸形数据包完全覆盖某一类漏洞类型。

所述畸形数据包的可选头包括但不限于下列可选头的一种或几种： Count可选头、 Name可选头、 Type可选头、 Length可选头、 Time可选头、 Target、 Who可选头。

所述可选头畸形数据的构造方法为：

1 ) 对于 Count可选头，对 Count可选头字段填充整数溢出类型畸形数据；

2) 对于 Name可选头，首先在 Name可选头的字符型字段填充超长字符串溢出类型畸形数据，并据实填充整个 Name可选头的长度信息；然后修改一个正常的 Name 可选头，将字符型字段中除了最后两个字节以外的其他任意两个字节修改为 "Null terminated Unicode", 或者 "/" , "\" , "：" , "* "， "，，"， "<"， ">"， "\ "；中的一种；最后，修改一个正常的 Name可选头，使之整数型数据字段的数值小于 3;

3 ) 对于 Type可选头，对 Type可选头字段填充超长字符串溢出类型畸形数据；

4) 对于 Length可选头，对 Length可选头字段填充数值零进行边值测试；

5 ) 对于 Time可选头，对 Time可选头、字段填充 OBEX协议中的非法的时间格式；

6) 对于 Target、 Who可选头，对 Target、 Who可选头的整数型字段填充整数溢出类型畸形数据，对 Target、 Who可选头的字符型字段填充超长字符串溢出类型畸形数据。

所述畸形数据包的数据结构包括：操作码、包长度和可选头；所述响应数据包的数据结构包括：响应码、包长度和可选头。

所述判断该目标设备的状态的方法为：对响应数据包中的响应码以及相关数据内容进行分析，并结合之前发出的畸形数据包类别，判断目标设备是否进行了正确的处理，如果正确处理则目标设备状态正常；如果目标设备没有正确处理，则目标设备异常并把相关信息记录下来。

所述引发该目标设备状态异常的畸形数据包包括：目标设备没有正确处理的畸形数据包和直接导致目标设备崩溃的畸形数据包。

一种 OBEX协议漏洞挖掘系统，包括畸形数据构造模块、协议通信模块、安全漏洞检测模块；

所述畸形数据构造模块用于针对 OBEX协议的脆弱点生成畸形数据包；

所述协议通信模块用于与采用 OBEX协议通信的目标设备建立通信连接；所述安全漏洞检测模块用于根据目标设备的响应数据包判断该目标设备的状态，以期识别该 OBEX协议的安全漏洞。

所述畸形数据构造模块根据所述目标设备中 OBEX协议的每一个脆弱点构造多份畸形数据包；其中每一份畸形数据包完全覆盖某一类漏洞类型。

所述漏洞调试模块在目标设备和计算机平台间建立通信连接，将目标设备上的漏洞挖掘工具重定向到计算机平台终端。

实现上述发明的技术解决方案时，将计算机平台上传统的漏洞挖掘技术，移植到使用 OBEX协议进行通信的终端设备上，比如智能手机平台上，并针对 OBEX协议的特点，构建相应的安全检测模块；同时，将终端设备上的漏洞挖掘工具重定向到计算机平台终端（比如通过蓝牙串行端口将智能手机平台上的漏洞挖掘工具重定向到计算机平台终端），从而使得研究人员可以在熟悉的平台上更为方便的进行漏洞调试工作。由于相关 OBEX协议软件源代码的不透明性，本发明采用 Fuzzing技术思想作为核心。 Fuzzing技术是计算机平台上的一种非常成熟的自动化安全漏洞挖掘技术，它不需要了解被测试对象的具体实现细节，只需构造大量特殊的输入对象，便能够根据相应的响应，发现测试对象所存在的安全漏洞。这里，特殊的输入对象又被称为畸形数据。 Fuzzing测试系统核心在于：如何构造畸形数据，以及如何识别安全漏洞。

具体的，本发明的系统包括畸形数据构造模块、漏洞检测模块、协议通信模块三个部分，其体系结构如图 1所示。三个模块中，畸形数据构造模块负责构造畸形数据；漏洞检测模块负责分析测试对象的响应，以期识别安全漏洞。协议通信模块被设计成为整个测试系统的基础支持模块，用以支撑畸形数据的发送，以及对测试对象响应的接收。上述三个模块在 Symbian系统上实现，属于同一程序，并通过代码指令相互调用。

协议通信模块负责在用户的要求之下，选择指定的蓝牙设备并建立连接。当协议通信模块建立了有效的蓝牙连接之后，将向畸形数据构造模块发送指令要求构造畸形数据包。协议通信模块负责将构造的畸形数据包发送到指定设备并接收响应数据包。

畸形数据构造模块针对 OBEX协议的脆弱点生成畸形数据。本系统中，畸形数据被设计成为合法的 OBEX协议数据包。与正常的数据包区别在于，畸形数据中的一个或者多个指定字段被特别构造。这些被特别构造了的字段被认为是可能激发安全漏洞的脆弱点。一般而言，脆弱点数据的构造遵循以下原则：

1) 脆弱点数据类型为整数型：可以通过设置不同的特殊数值构造整数溢出类型畸形数据包，即：非常小的数字，例如 -1， 0， 1， 2， 10, 20， 30 等；非常大的数字，例如 Oxffiff, 0x7fff， Oxfffffiff等；该字段取值范围附近的数值，例如 2⁸， 2⁸-1 , 2⁸+1 , 2¹⁶， 2²⁴或者 2³¹等。

2) 脆弱点数据类型为字符型：构造超长字符串溢出类型畸形数据包，即构造超长字符串检验是否存在缓冲区溢出漏洞；构造特殊字符异常类型畸形数据包，即混入特殊字符检验是否存在异常处理失败漏洞；构造格式化字符串类型畸形数据包，即添加

"%n "等类似子串以测试是否存在格式化字符串漏洞；如果该字段表示文件名，还可以添加 "../" 以判断是否存在目录跨越漏洞。

由于协议中各个字段存在相关性，所以各个脆弱点数据的构造并不是孤立的。一方面，多个脆弱点可以协同测试。例如有两个字段分别表示文件名和目录名，那么可以考虑构造数据使得 "文件名"和 "目录名"的长度之和非常之大，以测试是否存在异常处理失败漏洞等。另一方面，协议中不同的字段在协议规范上存在相互制约性。例如，为了在某个字符型脆弱点中填充超长字符串，就可能需要修改对应某个整数字段的数值，以符合协议数据包的合法性。但同时，有针对性的破坏协议规范上各个字段的制约性也有可能激发特殊的安全漏洞。这同样也说明了脆弱点数据构造的复杂性。

本发明对 OBEX协议规定的六种命令的数据包格式进行了分析，并拟定了针对每种数据包格式的漏洞挖掘方案。由于技术上的限制，本发明只针对六种命令的请求数据包进行漏洞挖掘，而不涉及响应数据包。以下首先对这六种命令的漏洞挖掘方案做详细分析- ) Connect命令； Co皿 ect命令的请求数据包格式如图 2所示。其中， Connect包长度字段和最大 OBEX包长度存在可能激发安全漏洞的可能性。由于这两个字段在语义上表示了整数型的数据类型，所以可以依照前述整数型数据类型的脆弱点数据构造原则构造畸形数据。依据实际测试效果，当这两个字段中填充一个较小的数值时（小于 255 )，容易引发激发测试对象的拒绝服务漏洞。存在相应拒绝服务漏洞的设备一般需要手动重启后方能恢复正常工作。

Connect命令的数据包可以搭配 Count、 Length, Who和 Target可选头协同工作。因此，在 Connect命令数据包中，除了可以对这四个可选头构造畸形数据外，还可以尝试搭配其他协议不准许的可选头，或者是将 Who可选头放置在其他可选头的后面（Who可选头在规范中必须作为数据包中的第一个可选头出现）。

除了 Connect命令之外的所有命令数据包测试，都应该分别在三种情况下进行：存在合法的 Connect时；在发送非法的 Connect命令数据包之后；在不存在 Connect日寸。

) Disconnect命令； Disconnect命令的请求数据包格式如图 3所示。由于目前大多数 OBEX协议实现都会直接抛弃 Disconnect数据包，并不做进一步的分析处理。所以该命令引发安全漏洞的可能性不大。可行的挖掘方案是对包长度字段和响应包长度字段构造整数型畸形数据，或者是在数据包末尾添加任意的畸形可选头。

) Put命令； Put命令的请求数据包格式如图 4所示。 Put命令数据包是最有可能引发安全漏洞的数据包格式。这一点已经在实测结果中得到了确认。因为 Put命令在协议规范中本身就准许所有的可选头协同工作，所以对 Put命令的实现也是 OBEX协议实现中最复杂的一个部分。除了对数据包中包长度构造整数型畸形数据，对于 Put命令数据包的漏洞挖掘方案主要由各个可选头的测试组合而成。

) Get命令； Get命令的请求数据包格式如图 5所示。对 Get命令数据包的漏洞挖掘方案和 Put命令数据包类似，包括对数据包中包长度构造整数型畸形数据，以及各种可选头测试组合。

) About命令； About命令的请求数据包格式如图 6所示。在实际经验中，多数 OBEX协议实现在接受到 About命令请求包时，不会对可选头进行详细分析。因此， About命令数据包的漏洞挖掘方案只包括对包长度和响应包长度的整数型畸形数据的构造。

6) Setpath命令； Setpath命令的请求数据包格式如图 7所示。 Setpath命令一般和 Name可选头协同工作，因为对 Name可选头的测试是对 Setpath命令进行漏洞挖掘工作的主要部分。除此之外， Setpath命令数据包的漏洞挖掘方案同样也包括对包长度和响应包长度的整数型畸形数据的构造。

从上述分析中可以看出，各个命令数据包的漏洞挖掘方案都和 OBEX协议可选头的测试密切相关。这是因为在 OBEX协议中，每一种命令可以依照 OBEX协议规范搭配不同的可选头，组合完成不同的功能目的。本发明共涉及到七种可选头的测试，具体方案如下所述：

1) Count可选头； Count可选头只包括一个四字节的整数型字段，可以对该字段填充整数型畸形数据。

2) Name可选头； Name可选头的格式如图 8所示。对 Name可选头的数据填充可以分为三个方面。首先，对字符型字段按照脆弱点字符型畸形构造原则进行填充，并据实填充整个 Name 可选头的长度信息；其次，修改一个正常的 Name 可选头，将字符型字段中除了最后两个字节以外的其他任意两个字节修改为

"Null terminated Unicode", 或者是其他特殊字符，如 "/" , "\"， "："， " * "， "，，"， "<"， ">"， T; 最后，修改一个正常的 Name可选头，使之整数型数据字段的数值小于 3 (Name可选头的最小长度）。

3) Type可选头；对 Type可选头可以构造字符型畸形数据进行漏洞挖掘工作。

4) Length可选头； Length可选头同样只包括一个四字节的整数型字段，根据 Length 可选头所表达的语义信息，可以尝试在 Length可选头中填充数值零进行边值测试。

5) Time可选头； Time可选头依照 ISO8601格式表达了一个指定时间。可以尝试填充一个非法的时间格式（例如填充 2008/2/30) 来测试目标系统是否对由此产生的异常进行了良好的处理。

6) Target, Who可选头； Target与 Who可选头都只含有一个整数型字段和一个字符型字段，可以釆用的漏洞挖掘方案包括两方面。一是对整数型字段填充整数型畸形数据；二是对字符型字段构造字符型畸形数据，并据实填充整个可选头长度到整数型字段之中。安全漏洞检测模块需要处理协议通信模块完成响应工作后的多种复杂情况。在目标设备响应了以后，安全漏洞检测模块需要根据响应内容判断目标设备是否正确的处理了发送的畸形数据包。一般的，当目标设备停止响应时，则可能存在安全漏洞。安全漏洞检测模块将在此时给出提示，并在测试人员手动重新激活目标设备以后，按照测试人员的要求，回放最经的 N个数据包，以精确定位安全漏洞。

在一些特殊情况下，安全漏洞并不会使得目标设备失去响应。例如，当数据包中表示文件名的字符型字段被填充为类似" ../"的特殊字符串时，如果目标设备返回" Success" 时，则同样可能存在目录遍历漏洞。安全漏洞检测模块同样也需要作出提示并回放数据包，以重现漏洞。

除此之外，安全漏洞检测模块的主要功能依然是将目标设备的响应记录下来以备査询，这就要求测试人员有初步的漏洞挖掘知识并对 OBEX协议有一定的理解，从而能够对这些记录下的信息作出人工分析。

本发明的积极效果为- 本发明弥补了国内外在 OBEX协议漏洞挖掘方面的空白，从而达到有效阻止 OBEX协议漏洞造成大规模经济损害的目的，同时本发明给出了针对 OBEX协议命令字段的不同脆弱点进行畸形数据构造的方法，可以实现快速准确构造所需要的畸形数据。由于 OBEX 协议所涉及到的终端设备不仅仅包括手机，计算机等，还有可能扩展到其他嵌入式领域，如配备了蓝牙通信的 GPS、 PDA等，因此本发明对我国的信息安全保障具有重大的意义。附图说明

图 1是本发明的体系结构图；

图 2是 Connect命令请求数据包格式；

图 3是 Disconnect命令请求数据包格式；

图 4是 Put命令请求数据包格式；

图 5是 Get命令请求数据包格式；

图 6是 About命令请求数据包格式；

图 7是 Setpath命令请求数据包格式；

图 8是 Name可选头数据格式；

图 9是本发明中 OBEX 协议漏洞的挖掘流程；

图 10是 OBEX协议常见响应码；图 11是本发明的响应数据包的数据结构。具体实施方法

具体实施方法参见图 9。首先工作的是协议通信模块，它将把当前可以进行漏洞测试的蓝牙设备罗列出来供用户选择。用户在一次完整的测试过程中，只能选择一个目标蓝牙设备进行测试。在用户选择之后，程序进入到实质测试阶段。实质测试阶段由畸形数据构造模块、协议通信模块以及安全漏洞检测模块三者之间的多次循环组成。每一次循环完成了 OBEX协议中某一个脆弱点上的某一类漏洞的独立测试过程。

畸形数据构造模块针对 OBEX协议的脆弱点负责生成畸形数据包。而后，协议通信模块负责进行与目标蓝牙设备之间的通信，并将响应结果传送给安全漏洞检测模块。安全漏洞检测模块在进行自动化判断之后，进行相应的记录并将控制权交还给畸形数据构造模块，以生成下一个畸形数据进行测试。

本发明覆盖了 OBEX协议中客户端可能涉及到的所有操作，下面以对 Put命令进行测试为例，进一步的说明本发明的具体实施方法。如前所述， Put请求数据包中的 "包长度"和各种可选头均是需要进行测试的脆弱点。这里只以 Length可选头为例进行漏洞挖掘。以下是畸形数据构造模块为此构造的畸形数据包。

82 00 BF C3 00 00 00 00 01 00 17 00 4E 00 6F 00 6B 00 69 00 61 00 2E 00 76 00 63 00 66 00 00 49 00 AO 42 45 47 49 4E 3 A 56 43 41 52 44 0D OA 56 45 52 53 49 4F 4E 3A 32 2E 31 0D OA 4E 3B 45 4E 43 4F 44 49 4E 47 3D 38 42 49 54 3B 43 48 41 52 53 45 54 3D 55 54 46 2D 38 3A 42 6C 6F 67 67 73 3B 4A 6F 65 0D OA 54 45 4C 3B 50 52 45 46 3B 43 45 4C 4C 3B 56 4F 49 43 45 3A 30 31 32 33 34 35 36 37 38 39 0D OA 54 45 4C 3B 56 4F 49 43 45 3A 30 31 32 33 34 35 36 37 38 39 0D OA 45 4D 41 49 4C 3A 72 6F 6F 74 40 65 78 61 6D 70 6C 65 2E 63 6F 6D 0D OA 45 4E 44 3 A 56 43 41 52 44 0D OA 在该数据包中，突出显示的部分 OBEX协议规定的操作码，其余部分是对应的数据。其中， "82"是 Put操作的操作码， "C3 "是 Length可选头的 ID， "01 "是 Name可选头的 ID， "49 "是 "End of Body"可选头的 ID。

进一步的对上述数据包进行分析，操作码 "82 "之后的 "00 BF"是整个数据包的长度。操作码 "C3 "之后是 Length可选头的内容，即 Put操作所发送数据的长度，在 OBEX协议规范中应该是表示整个 Put命令所发送数据的长度，不可能为零。这里将它设置为零来进行边值测试。数据包的其余部分则都是为了进行这次测试所填充的正常数据。

在畸形数据构造模块生成了一个用以测试的数据包以后，协议通信模块将把它发送给目标设备，并期待目标设备的响应。在如果目标设备经过一段时间后（该时间长度可由用户设置），依然没有响应，则协议通信模块认定目标设备已经崩溃，说明目标设备可能存在拒绝服务漏洞。

如果目标设备在规定时间内响应了之前的请求数据包，协议通信模块将把目标设备的响应数据包发送给安全漏洞检测模块，由后者负责对响应数据包的内容进行分析。 OBEX响应数据包也包括三个部分： "响应码" + "包长度 " + "可选头"。依然以 Put命令的响应数据包为例。如图 11所示，字节 0为响应码，字节 1、 2是包长度，而后是可选头。 Put命令的典型响应码有 0xA0、 0x90、 0xC0、 OxCl等，各个类别响应码的具体含义参见图 10。安全漏洞检测模块根据响应码的类别以及相关数据内容进行分析。在本例中，如果目标设备返回 " Successs", 则说明目标设备可能存在目录遍历漏洞；如果目标设备失去响应，则说明目标设备可能存在拒绝服务漏洞。

至此，程序完成了对目标设备的一次测试过程。程序将继续执行剩余测试直到所有预设的脆弱点都被测试完全，或者是目标设备失去响应。

Claims

权利要求书

1. 一种 OBEX协议漏洞挖掘方法，其步骤为：

1 ) 选定一采用 OBEX协议通信的目标设备并与之建立通信连接；

4) 根据接收的响应数据包判断该目标设备的状态；

2. 如权利要求 1所述的方法，其特征在于所述根据该目标设备 OBEX协议的脆弱点构造畸形数据包的方法为：根据该目标设备 OBEX协议的每一个脆弱点构造多份畸形数据包；其中每一份畸形数据包完全覆盖某一类漏洞类型。

3. 如权利要求 1或 2所述的方法，其特征在于所述畸形数据包的数据结构包括：操作码、包长度和可选头；所述响应数据包的数据结构包括：响应码、包长度和可选头。

4. 如权利要求 3所述的方法，其特征在于所述判断该目标设备的状态的方法为：对响应数据包中的响应码以及相关数据内容进行分析，并结合之前发出的畸形数据包类另 |J，判断目标设备是否进行了正确的处理，如果正确处理则目标设备状态正常；如果目标设备没有正确处理，则目标设备异常并把相关信息记录下来。

5. 如权利要求 3所述的方法，其特征在于所述畸形数据包的可选头包括但不限于下列可选头的一种或几种： Count可选头、 Name可选头、 Type可选头、 Length可选头、 Time可选头、 Target、 Who可选头。

6. 如权利要求 5所述的方法，其特征在于所述可选头畸形数据的构造方法为：

2 ) 对于 Name可选头，首先在 Name可选头的字符型字段填充超长字符串溢出类型畸形数据，并据实填充整个 Name可选头的长度信息；然后修改一个正常的 Name 可选头，将字符型字段中除了最后两个字节以外的其他任意两个字节修改为 "Null terminated Unicode", 或者 "Γ , "\" , " :，，， " * "， "，，"， "<"， ">，，， "| "; 中的一种；最后，修改一个正常的 Name可选头，使之整数型数据字段的数值小于 3 ;

6) 对于 Target、 Who可选头，对 Target、 Who可选头的整数型字段填充整数溢出类型畸形数据，对 Targ_et、 Who可选头的字符型字段填充超长字符串溢出类型畸形数据。

7. 如权利要求 1 所述的方法，其特征在于所述引发该目标设备状态异常的畸形数据包包括：目标设备没有正确处理的畸形数据包和直接导致目标设备崩溃的畸形数据包。

8. 一种 OBEX协议漏洞挖掘系统，包括畸形数据构造模块、协议通信模块、安全漏洞检测模块；

9. 如权利要求 8所述的系统，其特征在于所述畸形数据构造模块根据所述目标设备中 OBEX 协议的每一个脆弱点构造多份畸形数据包；其中每一份畸形数据包完全覆盖某一类漏洞类型。

10. 如权利要求 8所述的系统，其特征在于所述漏洞调试模块在目标设备和计算机平台间建立通信连接，将目标设备上的漏洞挖掘工具重定向到计算机平台终端。