0x0 前言
纯逆向新手,接触逆向两个月左右。
手头有一个小米手环4NFC版本,内置小爱同学,能够语音对话,进而控制智能家居,做一些操作如设置闹钟等。因对其实现原理好奇,并且想拓展其功能,遂逆向。百度只有Miband3之前的研究,到了Miband4的新功能,我应该还是第一个。
0x1 逆向前准备
首先,要想使用小米手环中的语音助手,手环必须和手机保持连接,并且小米运动APP要保持后台运行。很显然,小米手环并没有内置语音识别的功能,猜测其应该是将声音传感器的数据发送给手机,然后手机进行语音识别,自然语义处理之后再发送给手环。
而在安卓中,想要实现BLE(低功耗蓝牙)通讯,必须要调用
boolean android.bluetooth.BluetoothGatt.writeCharacteristic(BluetoothGattCharacteristic characteristic)
具体API可以参考Google的
我们就从这里开始入手。
0x2 开始逆向
我们使用Jadx打开小米运动APP,查看其源代码,发现大部分代码混淆得有点厉害,不过这不是问题。
我们直接使用代码搜索功能搜索“writeCharacteristic”,发现了我们想要的结果。
此处省略代码查找过程,最终我们找到了实际发送字节流的函数。
我们继续向上查找引用,或许可以直接通过静态分析就知道它的数据包结构呢?结果...
Jadx反编译失败了...Emm....不管了,直接Hook吧。
我们可以通过Hook发送数据包的函数,获取它到底发送了啥。当然也可以直接Hook安卓API,防止遗漏。这里我们这里选择了后者。
成功了!这些包的结构都很明显,大部分都是字符串和一些整数,且没有加密,通过多次对比和猜测就能知道,就不深入讲了。接下来我们重点分析小爱同学的通讯协议和小米手环认证算法。
0x3 小爱同学的通讯协议
为了抓到小爱同学的交互包,我们还需要Hook蓝牙的读取字节流的函数。在安卓里面,这个过程是通过Callback实现的,那我们需要Hook那个Callback函数。稍微一查就找到了:
com.xiaomi.hm.health.bt.O00000oO.O00000Oo.onCharacteristicChanged(BluetoothGatt bluetoothGatt, BluetoothGattCharacteristic bluetoothGattCharacteristic)
这样我们也能抓到从手环发到APP的包了:
因为我正向开发的经验还比较多,这里直接猜测就知道,前几个包仅涉及到一些状态的交换,如开始录音,切换UI等。后面的声音数据的解密才是重点。
我观察这些声音数据包,发现第一个字节代表数据包类型,第二个字节代表数据包序号,应该是防止乱序之类的(不知道BLE有没有乱序这一说)。接下来应该是声音数据,初步猜测是PCM,事实证明不是,还有一层编码。打印调用堆栈似乎是不可行的,我这里继续静态分析APP。
通过搜索一些关键词,我找到一些有意思的ENUM。
注意,这里向下追溯onCharacteristicChanged函数是没用的,因为大多数APP都是用Intent间接传递参数的,并不是直接调用解密函数。
我们只要向上查找这个枚举的引用,就找到了解析语音数据包的代码。
嗯,看来是找对了。
这里是解密函数,可以看到他在遍历一个数组,先将元素写到一个文件中,接着又调用了另一个函数,我们跟进去看看。
这里果然调用了一个decode函数,并且通过字符串我们知道最后的格式应该是pcm,16k。解密之前应该是opus。
发现他调用了一个so,不过opus的解密代码是开源的,我们直接用开源库写一个demo试试。
成功了!这样我们就完成了从声音数据的捕获到声音数据的解密。
0x4 小米手环认证算法
小爱同学等相关功能在未认证的情况下是不能使用的,所以有一个认证过程。
这个网上也有相关的文章,静态动态结合分析就行了,不过提醒一点,那个验证包的一个参数貌似变了,跟我网上搜索的文章讲的不一样。主要就是AES算法的data和key。
0x5 心得与后记
分析这个APP很简单,整个过程花费了一个下午,也没啥复杂的加密流程,软件本身也没保护,但还是学到很多,比如:
-
从软件调用的API考虑,向上回溯查找
-
关键词查找
-
动态静态结合分析
-
掌握一些软件设计模式(软件工程这门学问),APP正向开发思路,能更快更好的猜想。
其实,还有一个更简单的方法,那就是Hook那个打印日志的函数,等我一波骚操作后才发现,小米运动的日志是真详细(逃)。
再贴一个和github老哥亲切交谈的图,貌似小米手环要走向国际化了呢。