长亭百川云 - 文章详情

米家 LED 智能台灯简单分析

安全实践

61

2024-07-13

网上看了一些台灯,最后选了这一款,据说得了2017 iF 设计金奖,不过最主要是价格还合适。小米和飞利浦有合作的智能台灯,不过评价都不是很好,价格也高,也就没选。这个台灯很多人说不喜欢红线裸露,也有人说这个是亮点,产品设计者说这是故意裸露出来的。我觉得价格合适,控制方便,外观设计也过得去,也就它了。

可以通过手机App来控制,调节亮度色温,响应速度很快。

使用IoT安全测试环境来简单的分析下通信过程。

域名解析

台灯打开后,通过dhcp获取IP地址,然后解析了一个域名地址ot.io.mi.com,这个就是米家的云端。

可以看到这个域名的A记录有很多IP地址,后面与云端通讯时会选择其中一个,开始不间断的与云端进行通信,所有通讯都是UDP的。一般设备断电重启会重新选择一个云端地址。

心跳

每隔几秒,台灯会向云端发送一个报文,Len=32。同时云端也会发送一个报文,可以看到两个报文Data部分都是一样的。网上说这是UDP打洞机制,这样才可以实时判断设备是否在线,App对设备控制时反应很快,应该也是基于此。关灯后心跳包也一直存在,这样才能随时通过手机App控制。UDP打洞参考:

https://en.wikipedia.org/wiki/UDP\_hole\_punching

控制命令下发

通过手机App端控制灯泡,调节亮度和色温(这部分没抓包),可以看到云端向台灯发送了很多UDP数据包。

测试发现,直接重放云端发送给设备的UDP数据包,比如开灯、关灯、调节亮度和色温操作这些,在一段时间内(大概40秒左右),都是可以重放的。但是过了一段时间,重放数据包就不能控制了。这个我不确定是不是在数据Data部分做了控制,有了解的可以说下(对协议不是很了解^_^)。

OTA升级

台灯升级时,手机App端确定升级,设备会向云端服务器下载更新包。

升级使用http,把升级包下载下来看看,使用文本查看下bin文件里都有什么内容。

现在智能设备基本都开启了UPnP。

这里有个向cloud.yeelight.com发送统计信息的请求,不过我没抓到,估计要等待一段时间。不过这有句话很有意思哈:

sometimes, we don't want to be loved as much to be understood.

IDLE ゥゥゥゥゥゥゥゥゥゥTmr Svc 8.8.8.8               tiT 
ot.netif_change Oct 12 2017 17:15:57    ot_config   psm_model   _miap   
network.ssid    network.password    _miio   %u  network.configured  
stationTimer    {   ?????  %s.%s   _psm_object_open    (NULL)  %02X%c  
%02x%c  %02X    %02x    0123456789abcdef    0123456789ABCDEF    
NOTCONNECTED    CONNECTING  unknown CONNECTED   ONLINE  
{"result":{"state":"%s","auth_fail_count":%d,"conn_succes_count":%d,"conn_fail_count":%d,"dhcp_fail_count":%d  
 }}  no mem  ot_config.uid   %d  ot_config.gmt_offset    
ot_config.enauth    enauth  Invalid json.   Invalid param.  otn OTd not 
available.  ot_config.psm_model ot_config.mcu_ver   ot_config.psm_token 
country_domain  esp8266 
%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x%.2x    
%d.%d.%d.%d "%s":   "%s %s  {"localIp":"    ","mask":"  ","gw":"    "}  
"%s":"  "%s"    {"rssi":%hd,"ssid":"%s","bssid":"   "life":%u,  
"token":"   mac "hw_ver":"%s",  ESP8266 "uid":%s,   "channel":"%s", 
mcu_fw_ver  wifi_fw_ver ap  "}, netif   "mmfree":%u {"result":{ Mem 
error.  network ap2staTmr   rebootTimer Config router fail  passwd  
channel uid gmt_offset  miio_default    0x82562647  MIIO_net_change uap 
MIIO_net_change unprov  MIIO_net_change updating    MIIO_net_change 
cloud   MIIO_net_change local   MIIO_net_change offline config_JsDlgt   
reboot_JsDlgt   restore_JsDlgt  stop_diag_mode_JsDlgt   
wifi_assoc_state_JsDlgt config_router_JsDlgt    info_JsDlgt 
{"result":[%s]} reboot_timer    get_down    result "ready"  down 
update_fw error  ok ota_progress    20  ota failed  app_url 
mcu_url ota_state   ota_reboot  "idle"  "downloading"   "downloaded"    
"installing"    "installed" "failed"    ota_install_JsDlgt  ota_JsDlgt  
get_ota_state_JsDlgt    get_ota_progress_JsDlgt ?$@0    $@4$@,$@?$@0  
  $@

用的esp8266芯片,标红部分应该是与云端通信时传递的一些参数,标绿部分是OTA升级的一些状态吧。

 HTTP resps:%s Content-Length: Content-Length err. Header err. Open 
error. Write. HTTP resps: http://   渞%@爎%@|$@?$@T$@?$@Invalid json. 
Busy.  {"id":%u,"error":{"code":%d,"message":"%s"}} Resp general error. 
Resp invalid json. ip result otc_list Try out.  Method not found. 
ot.online method from sid params Req object invalid. _JsDlgtS _JsDlgt 
ot.offline "ott_stat": [%u, %u, %u, %u] ,"otstat":{ 
"timestamp":%u,"proto":1,"otip":" ","otport":80, "sendcnt":%u, 
"ackcnt":%u, "costtime":%u} {"method":"_otc.info","params":{   
竢%@紃%@p$@(*$@?$@?$@{"id":%u,"result":0} otc_test R. error model retry 
timeout "method": ,"params": ,"sid": ,"model": ,"from":"%s" "result": 
"error": ,"id":%u} nbl.%u not sync. {"method":"_otc.login","params":{ 
DnFull. LocalOnly. K@%c. Invalid param. redirect failed. _otd.redirect 
host _otd.neighbor token did NeighborAckProbErrIP. LanPktHdrErrDID. 
NeighborAckErrIP. LanPktErrDID. WanPktHdrErrDID. WanPktErrDID. 
WanPktNotFromHost. KPstop. KPTstop. "otu_stat": [%u,%u,%u,%u,%u,%u] 
"timestamp":%u,"proto":0,"otip":" ","otport":8053, ,"err":"%s"}}   
s%@s%@hP$@user    miIO    user    ot.online   true    false   up_task 
_otc.log    _async.store    null    
{"retry":0,"timeout":2000,"method":"props","params":{   "%s":%s "ota_   
"method":   {%s   {"retry":%u,"timeout":2000,"method":"event.%s","params":[%s]}   {"retry":0,"method":"%s","params":{"%s":%s}}

这里也可以看到云端通讯使用的8053端口,设备端使用固定的端口54321,应该都是为了满足UDP打洞要求。

简单分析就到这,网上有人专门拆解了小米的扫地机器人、智能灯泡等,感兴趣的可以去看看。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2