GN⁺: 크리스마스 조명을 고장 낸 사건

블루투스 LE LED 조명 컨트롤러 역공학, 또는 내 크리스마스 조명을 어떻게 망가뜨렸는가

• 블루투스 LE를 통해 통신하고 앱이 있는 장치는 집안 자동화 시스템에 통합될 가치가 있음.
• 예산 친화적인 LED 라이트 스트립을 역공학하여 자동화하는 데 상당한 시간을 할애함.
• 최근에는 가장 저렴한 £2.38짜리 블루투스 LE 제어 5M 비주소 지정 스트립을 몇 시간 만에 Home Assistant에 연결하는 데 성공함.

1단계. 전선을 통한 바이트

• 자체 소프트웨어에서 장치를 제어하려면 앱에서 장치로 보내는 블루투스 바이트를 검사하는 것이 첫 단계임.
• 안드로이드는 이 과정을 쉽게 함. 개발자 모드를 활성화하고, 조명 앱을 설치한 다음 개발자 설정에서 Bluetooth HCI snoop를 활성화하여 로그를 기록함.
• Wireshark로 로그를 열어 정확한 바이트를 확인하고, 값의 패턴을 찾아 각 동작에 대한 바이트 시리즈를 식별할 수 있음.

2단계. 재생 공격

• 단순히 조명을 켜고 끄는 것이 목표라면 관찰한 반복 바이트 시리즈가 전원 제어에 충분할 수 있음.
• gatttool을 사용하여 BLE 장치에 연결하고 바이트를 보내 테스트할 수 있음.

3단계. 안드로이드 앱 디컴파일

• 앱의 APK를 다운로드하고 jadx에서 열어 내부의 비밀을 확인함.
• 소스에서 AES를 참조하는 것을 발견하여 암호화된 프로토콜 가능성을 시사함.
• 암호화된 데이터는 매번 변하지 않으며, 저전력 MCU에서 빠른 복호화가 필요하고, 각 장치마다 고유하지 않은 고정 키가 있을 가능성이 있음.

4단계. 모든 기능

• 각 앱 기능을 작업하며 보내진 바이트를 기록함.
• 각 동작을 기록하고, 반복하며, 패턴을 발견하고 캡처된 바이트와 메모를 상관시키는 데 도움이 됨.

5단계. 자동화된 전자 폐기물 생성기

• 색상 변경을 탐색하는 동안 앱이 빨강, 초록, 파랑에 대해 0x1F 이상의 값을 보내지 않는 것을 관찰함.
• 8비트 값을 시도해 보고 더 밝은 색상이 잘 작동하는 것을 발견함.
• 추가 효과가 있는지 궁금해져 간단한 루프로 시도해 봄.
• 10번째 효과까지는 잘 작동했으나, 11번째에서 비밀 모드를 발견했고, 12번째에서 어둠이 찾아옴.
• 재부팅을 시도했지만 조명은 다시 켜지지 않았고, 블루투스 광고도 하지 않아 더 이상 연결할 수 없음.
• 버퍼 오버플로우로 펌웨어가 손상된 것으로 추정됨.
• 그러나 LED 자체는 표준 주소 지정 가능 LED이므로 다른 마이크로컨트롤러에 연결하여 사용할 수 있음.

내 조명을 어떻게 망가뜨릴 수 있을까

• 문제가 발생했음에도 불구하고 대부분의 프로토콜을 문서화하고 Home Assistant 사용자 정의 구성 요소를 포함한 Github 프로젝트를 생성함.
• 작동하지만, 위험을 감수하고 진행해야 함.

GN⁺의 의견

• 이 글에서 가장 중요한 것은 개인이 집에서 사용하는 스마트 조명을 자동화 시스템에 통합하려는 DIY 정신과 역공학에 대한 열정임.
• 역공학 과정은 기술적 지식뿐만 아니라 문제 해결 능력과 창의성을 필요로 하며, 이는 초급 소프트웨어 엔지니어에게도 매우 흥미로운 주제임.
• 실패의 경험을 공유하는 것은 다른 이들이 같은 실수를 반복하지 않도록 도움을 주며, 이러한 공개적인 지식 공유는 오픈 소스 커뮤니티의 핵심 가치 중 하나임.