0x00 文件目录

0x01 序言

0x02 BLE简述

BLE tcp协议一览

GAP－通用性浏览标准

GATT－通用性特性协议书

0x03 BLE *** 嗅探

0x04 仿冒BLE通信

0x05 剖析BLE独享数据信息协议书（电灯泡、情趣跳蛋、小米手环）

1.YeeLight 2 代蓝牙电灯泡

2.小爱爱智能化情趣跳蛋（这一真并不是我的，某一小伙伴们出借我科学研究的）

3.小米手环

番外：小米手环验证体制剖析

0x06 总结

0x07 参考文献

0x01 序言

由于自身曾DIY过说白了的“智能产品”，学习过程中除开触碰各种各样集成ic、感应器、电路知识外，也拆了许多设备剖析其设计方案观念融会贯通。再之后又触碰了如：Wi-Fi、ZigBee、Bluetooth、NFC、IR、一般频射乃至声频等通讯技术，才发觉空气中这些各式各样的界限，才算是全部物联网安全性的重要。

今日的內容是我还在黑云內部做的技术性共享，也就是我之前对低功耗蓝牙技术性的一些触碰，梳理后决策对小区发布。一来能够让小区对神密的蓝牙技术性破冰之旅；二来也是毛遂自荐，期待能见到大量趣味的实例；三来相比这些华丽的show，我更喜欢共享一些具体的內容。

此次的研究方案是蓝牙4.0中的低功耗技术性（Bluetooth Low Energy）通称“BLE”，必须留意一些技术标准非常容易与經典蓝牙弄混。

文章正文逐渐前再看一段新闻报导吧，体会下蓝牙对当今及其将来在大家日常生活的知名度：

2015年8月18~19日，蓝牙技术联盟(Bluetooth Special Interest Group，通称SIG)上海市区举行2015蓝牙亚洲地区交流会。蓝牙技术联盟执行总监Mark Powell在大会上强调，现阶段蓝牙早已变成全世界消耗量较大 的无线通信技术。现阶段，蓝设备的年销售量过去十五年内提升了1000倍，早已做到了30亿的水准，在未来的4~5年内还将提升到50亿。

0x02 BLE简述

这儿本应当先解读蓝牙与低功耗蓝牙的基本知识，但在网上材料充裕，因此诸位還是从文章内容最终的参考文献中了解一下吧。黑云上也是有白帽子干了一部分科谱 Bluetooth Low Energy *** 嗅探 谢谢他的共享。因此我只讲基本知识中的重要內容，随后多放些大伙儿赞不绝口的实战演练实例。

BLE tcp协议一览

这一tcp协议比较复杂，想基本化掌握BLE协议书基本的，就可以参照全新蓝牙4.2的官方网文本文档Bluetooth? Core Specification 4.2，我只简易的获取我了解的重要一部分。

GAP－通用性浏览标准

BLE设备的连接与数据加密、签字协议书的商议在这里一层，例如BLE的二种安全中心，更先是Security Mode 1，这一方式关键承担“数据加密”，它带有三个安全级别：

Level 1 无验证无数据加密，链接默认设置方式。我手头上有的设备默认设置全是这一级别，不可靠…

Level 2 带数据加密的未认证匹配

Level 3 带数据加密的验证匹配

次之是Security Mode 2，这一方式关键承担“签字”，它带有2个安全级别：

Level 1：带数据信息签字的未认证匹配

Level 2：带数据信息签字的验证匹配

PS：之上全是学习知识，实际能够参考蓝牙4.2官方网文本文档内对BLE安全性的讲解一部分，留意不必跟蓝牙搞混。

GATT－通用性特性协议书

GATT承担2个BLE设备间通信的数据信息互动，是对作用数据信息更为关键的一部分，本文的关键也在这儿。

如图所示，GATT中的三个因素Profile、Service、Characteristic及其她们的等级关联，特别注意的是，Profile实际上是SIG蓝牙技术联盟给一些同范围内的Service装包后的结合，例如充电电池、心跳、心率等，能够参考官方网 Profiles Overview 因此Profile对大家的剖析并无厚用，无需放在心里。

Service和Characteristic是较为关键的，Service能够了解为PHP中的“类”，作用目标的结合。Characteristic能够了解为PHP的“涵数”，是GATT中实际的作用目标，每一个Service都能够包括一个或好几个Characteristic。

为什么说GATT很重要？由于了解了它，就早已可以剖析或者“黑掉”一些BLE设备了。例如小米手环在中国某一硬件安全大会上被做了一个进攻演试，应用Lightblue联接拿到环后，只需用给在其中一个Characteristic载入1，就可以让智能手表振动起來，大伙儿很诧异但有不知所以然。我用官方网申请注册的Characteristic视角解释一下：

哪个FEE7便是一个独享Service的UUID，里边的0xFE**便是独享Characteristic的UUID，在往后面这一Immediate Alert 表明出了名字，意味着其并不是小米手机独享的Service，只是官方网公布界定的Service，大家点击查看这一 Characteristic

看到了这一 Characteristic 的UUID 2A06，随后我们去蓝牙官方网站界定的目录 Characteristics 检索 2A06，进到Characteristic的宝贝详情面。

该 Characteristic 实际操作界定十分确立了：

值

含意

无警示

1

柔和的警示

2

明显的警示

3~255

预埋

因此你向UUID为 0x2A06 的 Characteristic 载入1的情况下，小米手环会变会振动。实际上你要能键入2，这一快乐比1更爽爆～哦呦、别、别停…… 这是一个简易的GATT事例，不知道诸位是不是搞清楚，如今你能安裝个LightBlue连接你身旁的BLE设备，看一下可否发觉一些难题了呢？

小常识：GATT中的UUID有16bit和129ait二种，官方网站见到这些全是16bit的（实际上真实的通讯全是129ait的，官方网UUID在之一段数据信息中能够鉴别）。官网认证过的UUID是要花银两的，但你能免费试用，确保硬件软件的互相理解。反过来，独享UUID唯有你自身的硬件软件才可以了解，要弄搞清楚作用就得专业性剖析，也是我后边要做的事儿。