作者yam193431 (d83n3n3)
看板Military
標題黎巴嫩 BBcall爆炸事件可能比你我想得更蠢
時間Sun Oct 13 23:50:20 2024
簡單說下這次出事的AR924機型和可能的原因;BAC等空殼公司滲透大家應該都看爛,不再廢
話:
1.
https://youtu.be/x50wwGjX2Ao?si=SNDJk7serWhu2Quq
由Gold apollo前員工在香港成立的空殼公司(Gold apollo system HK)上傳的AR924功能廣
告;這是一台內建鋰電池機型,並且全密封號稱IP67防水>>>這一定程度上阻止了真主黨拆機
檢測(這是第一個漏洞)
2. BBcall 運作需要兩個基本數據:工作頻率與內碼. BBcall 所用的Flex協定非常簡陋(以
今天角度來看);基地台以170~900MHZ之間的頻率(依所在國家有所不同)發送同時間的所有訊
息(是的所有,只要頻率相同你的BBcall實際上除了接收你自己的訊息,也會收到隔壁老王
跟樓下小美的訊息)但只會解碼對應自身內碼的訊息。
複數台機器可以擁有同一個內碼,同時收到同樣的訊息(常被用來逃漏月租費,俗稱刷碼;台
灣電信局時代這行為可以上刑法)
過去修改工作頻率與內碼需要特殊工具;現在的Gold apollo原廠機型可以直接進入工程模式
操作設定。
末期摩托羅拉機種允許設定四組內碼,頻率基本上是硬體設計,不會改變;假設真主黨進口
後自行設定了內碼.AR924很可能暗藏另一組內碼在EEPROM中(以下稱暗碼;這是第二個錯誤,
真主黨沒有變更原廠頻率,俗稱改頻,又或者頻率被內鬼洩漏)
如此一來以色列不需要知道所有真主黨人的內碼,只需要一封訊息發送給預藏的暗碼即可,
所有開機且在訊號覆蓋下的BBcall都會收到同樣訊息。
3. 已經連犯兩個錯誤的真主黨現在將犯第三個錯誤;爆炸過程大致上是這樣的:
一.BBcall收到一條特殊的異常簡訊
二.簡訊提示按下按鈕退出
三.按下後發生爆炸
這牽扯到Flex協定如何傳輸文字,文字與數字會被以ASCII和BCD編碼後明文調變到無線電波
的特定位元上-注意這是未經加密的;意味著只要修改MCU韌體,在收到特定編碼後倒計時,
若按下按鈕則引爆。 只要想要,這串訊息可以設定成任何字串,例如星爆氣流斬。
真主黨明顯沒有修改Flex發送系統的後台(也可能是沒能力,畢竟現存的Flex系統幾乎沒有
維護工具)來去除掉非必要的編碼並限制只有白名單有發送訊息的權限(又或是權限洩漏)。
最後真主黨拆機檢測了部分因關機和其他原因未引爆的BBcall,PETN被偽裝成電池外殼,考
慮到PETN單靠溫度起爆需要200度以上,使用電池短路升溫不太可靠,以色列應該在電池BMS
模組中暗藏了電子起爆裝置。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.173.224.47 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Military/M.1728834622.A.51F.html
1F:推 edison : 以前用BBcall一號多機是很正常的,尤其是公司配的 10/14 00:00
2F:→ edison : 機子,後來有台廠出的機子還可以同門號再分子號去 10/14 00:01
3F:→ edison : 對應一號多機的市場需求 10/14 00:01
4F:推 uglyfinger : 這種詳細的分析蠻有趣的 10/14 00:12
5F:推 oldTim : 專業推 10/14 00:15
6F:推 birdy590 : 台灣金阿波羅根本沒有做過鋰電池的型號 10/14 00:16
7F:推 rnoro : 推專業 10/14 00:16
8F:→ birdy590 : 所以要嘛這是以色列自己設計 要嘛買台灣貨回去改的 10/14 00:16
9F:推 dos01 : 真主黨買到的是魔改版基本上已經是可以確定的事實 10/14 00:20
10F:→ dos01 : 畢竟電池怎麼樣都不會直接爆炸 10/14 00:20
11F:推 fakeimage : 有趣 推 10/14 00:27
12F:推 kei1823 : 拆機後怎麼還沒辦法確認炸藥起爆方式? 10/14 00:34
13F:推 fudick : 專業喔 10/14 00:34
14F:推 TheoEpstein : IP67防水(重點) 10/14 00:35
15F:推 utn875 : 推 老技術的產品 以前真的好多漏洞可以玩 10/14 00:38
16F:推 wbreeze : 推 有趣 10/14 00:40
17F:推 s8018572 : 所以不看bb call的人就不會出事? 10/14 00:49
18F:→ wahaha99 : 誰把BBCall戴身上還不看的 10/14 01:15
19F:→ wahaha99 : 而且這些都是幹部吧 才會發配BBCall 10/14 01:16
20F:→ wahaha99 : 敢不看嗎 10/14 01:16
21F:推 birdy590 : 沒爆的比較可能是沒發出去的備品~ 不然這個"新款" 10/14 01:17
22F:→ birdy590 : 最大的特色包括續航可以撐好幾個月 10/14 01:17
23F:→ birdy590 : 有在用的人應該沒什麼動機去關機 10/14 01:17
24F:推 spath : 推專業解說 10/14 01:45
25F:推 edison : 被炸腰的就是沒看BBcall,有看的就手和眼睛 10/14 01:59
26F:推 x86t : 先把震動按掉去安全一點的地方看也有可能阿 10/14 02:22
27F:推 semind : 有種時空穿越劇感 10/14 02:39
28F:推 art1 : 沒辦法確定引爆方式也是滿迷的 10/14 02:51
29F:→ aprilsheep : 推推 10/14 02:57
30F:推 cross980115 : 有些爆炸是在口袋內爆炸的吧 所以應該不是不看就沒 10/14 03:36
31F:→ cross980115 : 事? 10/14 03:36
32F:→ birdy590 : 要弄清楚引爆機制 必須有辦法把韌體倒出來解碼 10/14 03:38
33F:→ birdy590 : 這個大概找中俄會比較有機會 10/14 03:46
34F:推 ctes940008 : 蠻多沒看的也是引爆 10/14 04:00
35F:推 JNissan : 真是傻眼,我居然全看得懂這篇文章的專有名詞…感 10/14 04:02
36F:→ JNissan : 謝大學上課沒有偷懶 10/14 04:02
37F:推 Pegasus170 : 這篇分析的很詳細,也說明了一件事:BBCall/Pager 10/14 05:31
38F:→ Pegasus170 : 的資安落後程度。 10/14 05:31
39F:推 keltt : 不是收到簡訊後就倒數計時引爆喔?還要按下Button去 10/14 05:52
40F:→ keltt : Trigger喔? 10/14 05:52
41F:→ keltt : 那有警覺心一點的就沒事了? 10/14 05:52
42F:推 allan0926 : 放口袋爆掉的,就可能有不同的引爆方式 10/14 05:54
43F:推 keltt : 公司MIS不都會發釣魚信,訓練員工不要看到信件叫你 10/14 05:54
44F:→ keltt : 點連結或是開附件,就手賤去按嗎? 10/14 05:54
45F:推 kira925 : Pager沒有這種東西 10/14 07:06
46F:推 cheakmo : push 10/14 07:11
47F:推 holysong : 不關協定資安,單純亂改機,為什麼還有人研究call機 10/14 07:15
48F:→ holysong : ,這就市場問題 10/14 07:15
49F:→ geordie : 看影片放口袋的那個也沒去碰它就炸了,另一個光放 10/14 07:19
50F:→ geordie : 在超市的收銀櫃檯就被震波震到敲到櫃檯,怎麼看都 10/14 07:19
51F:→ geordie : 不像是有按過bbcall 10/14 07:19
52F:推 saccharomyce: 是有按就爆 如果沒按就倒數計時爆炸 10/14 07:35
53F:推 ayuhb : 那日本牌的無線電爆炸勒 10/14 07:52
54F:→ sdiaa : 有些在腰帶、腰袋爆炸的 不像是有按下按鈕... 10/14 08:09
55F:→ birdy590 : 並沒有限制一定要點開才會炸 純看設計者想怎麼做 10/14 08:21
56F:→ birdy590 : 看過金阿波羅的正牌PCB照片上面有自己開的晶片 10/14 08:23
57F:→ birdy590 : 這可能會讓分析引爆機制變的更困難 10/14 08:23
58F:推 NewCop : 不可能不按,最開始真主黨會用bb call,就是因為以 10/14 08:26
59F:→ NewCop : 色列大肆宣揚對手機的破解能力,搞到真主黨為了保密 10/14 08:26
60F:→ NewCop : 回頭用這種原始的方式 10/14 08:26
61F:→ NewCop : 也就是說會用bb call傳的肯定是某種組織機密等級的 10/14 08:26
62F:→ NewCop : 東西 10/14 08:26
63F:推 QuentinHu : 太厲害...根本007小說等級 10/14 08:32
64F:推 sank : 推 10/14 10:04
65F:推 ru04hj4 : 品質很好沒有事先先爆炸被發現 10/14 10:05
66F:→ tactics2100 : 因該是設定成訊息刷新就引爆 手按讀訊息刷新 時間到 10/14 10:39
67F:→ tactics2100 : 沒看也刷新 10/14 10:39
68F:推 olphen9212 : 推 10/14 10:44
69F:推 BigLargeBoss: 感謝分析,可是聽說有些是沒有接觸也爆炸? 10/14 11:19
70F:推 tsukasaxx : 專業推 別惹以色列 10/14 11:26
71F:推 Zsanou : 專業推 10/14 11:47
72F:推 snownow : 設兩個條件很簡單吧,倒數10秒,有按的提早爆,沒按 10/14 12:31
73F:→ snownow : 就10秒倒數完爆,這樣可以保證絕對炸傷手臉 10/14 12:31
74F:推 movieghost : 看起來一點都不蠢啊 10/14 12:41
75F:推 kimfatt : 阿波羅有沒有辦法完全安全下莊? 10/14 13:13
76F:→ birdy590 : 東西就不是金阿波羅做的啊 台灣根本沒設計鋰電池款 10/14 13:18
77F:推 tsairay : 之前不就說了對方買授權貼牌自己設計生產嗎 10/14 13:26
78F:推 cena41 : 比恐怖份子還恐怖的手法對付恐怖份子,真的恐怖 10/14 14:17
79F:推 TinCanEngine: 金阿波羅提供商標跟電路板的智財授權給代工廠,其 10/14 14:22
80F:→ TinCanEngine: 他的給代工廠自己配 10/14 14:22
82F:→ potionx : 目前看到最詳細的解說了 10/14 17:33
83F:推 aaaa8729981 : 推 10/14 20:59
84F:推 apple00 : 以前大學生都會拷貝刷機 一個人月租繳費給全班用 10/15 12:34