作者yam193431 (d83n3n3)
看板Military
标题黎巴嫩 BBcall爆炸事件可能比你我想得更蠢
时间Sun Oct 13 23:50:20 2024
简单说下这次出事的AR924机型和可能的原因;BAC等空壳公司渗透大家应该都看烂,不再废
话:
1.
https://youtu.be/x50wwGjX2Ao?si=SNDJk7serWhu2Quq
由Gold apollo前员工在香港成立的空壳公司(Gold apollo system HK)上传的AR924功能广
告;这是一台内建锂电池机型,并且全密封号称IP67防水>>>这一定程度上阻止了真主党拆机
检测(这是第一个漏洞)
2. BBcall 运作需要两个基本数据:工作频率与内码. BBcall 所用的Flex协定非常简陋(以
今天角度来看);基地台以170~900MHZ之间的频率(依所在国家有所不同)发送同时间的所有讯
息(是的所有,只要频率相同你的BBcall实际上除了接收你自己的讯息,也会收到隔壁老王
跟楼下小美的讯息)但只会解码对应自身内码的讯息。
复数台机器可以拥有同一个内码,同时收到同样的讯息(常被用来逃漏月租费,俗称刷码;台
湾电信局时代这行为可以上刑法)
过去修改工作频率与内码需要特殊工具;现在的Gold apollo原厂机型可以直接进入工程模式
操作设定。
末期摩托罗拉机种允许设定四组内码,频率基本上是硬体设计,不会改变;假设真主党进口
後自行设定了内码.AR924很可能暗藏另一组内码在EEPROM中(以下称暗码;这是第二个错误,
真主党没有变更原厂频率,俗称改频,又或者频率被内鬼泄漏)
如此一来以色列不需要知道所有真主党人的内码,只需要一封讯息发送给预藏的暗码即可,
所有开机且在讯号覆盖下的BBcall都会收到同样讯息。
3. 已经连犯两个错误的真主党现在将犯第三个错误;爆炸过程大致上是这样的:
一.BBcall收到一条特殊的异常简讯
二.简讯提示按下按钮退出
三.按下後发生爆炸
这牵扯到Flex协定如何传输文字,文字与数字会被以ASCII和BCD编码後明文调变到无线电波
的特定位元上-注意这是未经加密的;意味着只要修改MCU韧体,在收到特定编码後倒计时,
若按下按钮则引爆。 只要想要,这串讯息可以设定成任何字串,例如星爆气流斩。
真主党明显没有修改Flex发送系统的後台(也可能是没能力,毕竟现存的Flex系统几乎没有
维护工具)来去除掉非必要的编码并限制只有白名单有发送讯息的权限(又或是权限泄漏)。
最後真主党拆机检测了部分因关机和其他原因未引爆的BBcall,PETN被伪装成电池外壳,考
虑到PETN单靠温度起爆需要200度以上,使用电池短路升温不太可靠,以色列应该在电池BMS
模组中暗藏了电子起爆装置。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.173.224.47 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Military/M.1728834622.A.51F.html
1F:推 edison : 以前用BBcall一号多机是很正常的,尤其是公司配的 10/14 00:00
2F:→ edison : 机子,後来有台厂出的机子还可以同门号再分子号去 10/14 00:01
3F:→ edison : 对应一号多机的市场需求 10/14 00:01
4F:推 uglyfinger : 这种详细的分析蛮有趣的 10/14 00:12
5F:推 oldTim : 专业推 10/14 00:15
6F:推 birdy590 : 台湾金阿波罗根本没有做过锂电池的型号 10/14 00:16
7F:推 rnoro : 推专业 10/14 00:16
8F:→ birdy590 : 所以要嘛这是以色列自己设计 要嘛买台湾货回去改的 10/14 00:16
9F:推 dos01 : 真主党买到的是魔改版基本上已经是可以确定的事实 10/14 00:20
10F:→ dos01 : 毕竟电池怎麽样都不会直接爆炸 10/14 00:20
11F:推 fakeimage : 有趣 推 10/14 00:27
12F:推 kei1823 : 拆机後怎麽还没办法确认炸药起爆方式? 10/14 00:34
13F:推 fudick : 专业喔 10/14 00:34
14F:推 TheoEpstein : IP67防水(重点) 10/14 00:35
15F:推 utn875 : 推 老技术的产品 以前真的好多漏洞可以玩 10/14 00:38
16F:推 wbreeze : 推 有趣 10/14 00:40
17F:推 s8018572 : 所以不看bb call的人就不会出事? 10/14 00:49
18F:→ wahaha99 : 谁把BBCall戴身上还不看的 10/14 01:15
19F:→ wahaha99 : 而且这些都是干部吧 才会发配BBCall 10/14 01:16
20F:→ wahaha99 : 敢不看吗 10/14 01:16
21F:推 birdy590 : 没爆的比较可能是没发出去的备品~ 不然这个"新款" 10/14 01:17
22F:→ birdy590 : 最大的特色包括续航可以撑好几个月 10/14 01:17
23F:→ birdy590 : 有在用的人应该没什麽动机去关机 10/14 01:17
24F:推 spath : 推专业解说 10/14 01:45
25F:推 edison : 被炸腰的就是没看BBcall,有看的就手和眼睛 10/14 01:59
26F:推 x86t : 先把震动按掉去安全一点的地方看也有可能阿 10/14 02:22
27F:推 semind : 有种时空穿越剧感 10/14 02:39
28F:推 art1 : 没办法确定引爆方式也是满迷的 10/14 02:51
29F:→ aprilsheep : 推推 10/14 02:57
30F:推 cross980115 : 有些爆炸是在口袋内爆炸的吧 所以应该不是不看就没 10/14 03:36
31F:→ cross980115 : 事? 10/14 03:36
32F:→ birdy590 : 要弄清楚引爆机制 必须有办法把韧体倒出来解码 10/14 03:38
33F:→ birdy590 : 这个大概找中俄会比较有机会 10/14 03:46
34F:推 ctes940008 : 蛮多没看的也是引爆 10/14 04:00
35F:推 JNissan : 真是傻眼,我居然全看得懂这篇文章的专有名词…感 10/14 04:02
36F:→ JNissan : 谢大学上课没有偷懒 10/14 04:02
37F:推 Pegasus170 : 这篇分析的很详细,也说明了一件事:BBCall/Pager 10/14 05:31
38F:→ Pegasus170 : 的资安落後程度。 10/14 05:31
39F:推 keltt : 不是收到简讯後就倒数计时引爆喔?还要按下Button去 10/14 05:52
40F:→ keltt : Trigger喔? 10/14 05:52
41F:→ keltt : 那有警觉心一点的就没事了? 10/14 05:52
42F:推 allan0926 : 放口袋爆掉的,就可能有不同的引爆方式 10/14 05:54
43F:推 keltt : 公司MIS不都会发钓鱼信,训练员工不要看到信件叫你 10/14 05:54
44F:→ keltt : 点连结或是开附件,就手贱去按吗? 10/14 05:54
45F:推 kira925 : Pager没有这种东西 10/14 07:06
46F:推 cheakmo : push 10/14 07:11
47F:推 holysong : 不关协定资安,单纯乱改机,为什麽还有人研究call机 10/14 07:15
48F:→ holysong : ,这就市场问题 10/14 07:15
49F:→ geordie : 看影片放口袋的那个也没去碰它就炸了,另一个光放 10/14 07:19
50F:→ geordie : 在超市的收银柜台就被震波震到敲到柜台,怎麽看都 10/14 07:19
51F:→ geordie : 不像是有按过bbcall 10/14 07:19
52F:推 saccharomyce: 是有按就爆 如果没按就倒数计时爆炸 10/14 07:35
53F:推 ayuhb : 那日本牌的无线电爆炸勒 10/14 07:52
54F:→ sdiaa : 有些在腰带、腰袋爆炸的 不像是有按下按钮... 10/14 08:09
55F:→ birdy590 : 并没有限制一定要点开才会炸 纯看设计者想怎麽做 10/14 08:21
56F:→ birdy590 : 看过金阿波罗的正牌PCB照片上面有自己开的晶片 10/14 08:23
57F:→ birdy590 : 这可能会让分析引爆机制变的更困难 10/14 08:23
58F:推 NewCop : 不可能不按,最开始真主党会用bb call,就是因为以 10/14 08:26
59F:→ NewCop : 色列大肆宣扬对手机的破解能力,搞到真主党为了保密 10/14 08:26
60F:→ NewCop : 回头用这种原始的方式 10/14 08:26
61F:→ NewCop : 也就是说会用bb call传的肯定是某种组织机密等级的 10/14 08:26
62F:→ NewCop : 东西 10/14 08:26
63F:推 QuentinHu : 太厉害...根本007小说等级 10/14 08:32
64F:推 sank : 推 10/14 10:04
65F:推 ru04hj4 : 品质很好没有事先先爆炸被发现 10/14 10:05
66F:→ tactics2100 : 因该是设定成讯息刷新就引爆 手按读讯息刷新 时间到 10/14 10:39
67F:→ tactics2100 : 没看也刷新 10/14 10:39
68F:推 olphen9212 : 推 10/14 10:44
69F:推 BigLargeBoss: 感谢分析,可是听说有些是没有接触也爆炸? 10/14 11:19
70F:推 tsukasaxx : 专业推 别惹以色列 10/14 11:26
71F:推 Zsanou : 专业推 10/14 11:47
72F:推 snownow : 设两个条件很简单吧,倒数10秒,有按的提早爆,没按 10/14 12:31
73F:→ snownow : 就10秒倒数完爆,这样可以保证绝对炸伤手脸 10/14 12:31
74F:推 movieghost : 看起来一点都不蠢啊 10/14 12:41
75F:推 kimfatt : 阿波罗有没有办法完全安全下庄? 10/14 13:13
76F:→ birdy590 : 东西就不是金阿波罗做的啊 台湾根本没设计锂电池款 10/14 13:18
77F:推 tsairay : 之前不就说了对方买授权贴牌自己设计生产吗 10/14 13:26
78F:推 cena41 : 比恐怖份子还恐怖的手法对付恐怖份子,真的恐怖 10/14 14:17
79F:推 TinCanEngine: 金阿波罗提供商标跟电路板的智财授权给代工厂,其 10/14 14:22
80F:→ TinCanEngine: 他的给代工厂自己配 10/14 14:22
82F:→ potionx : 目前看到最详细的解说了 10/14 17:33
83F:推 aaaa8729981 : 推 10/14 20:59
84F:推 apple00 : 以前大学生都会拷贝刷机 一个人月租缴费给全班用 10/15 12:34