OpenMQTTGateway support thread - im Speziellen: BT/BTLE

rspecht · 11 Juni 2024, 07:51:21

Zitat von: Beta-User am 10 Juni 2024, 15:31:23Falls das irgendein Device ist, das von "allgemeinem Interesse" ist: her damit! Wir haben für OMG mAn. noch etwas wenig Beispiele, was man damit alles anfangen kann...

Bestimmt... das ist wie gesagt ein Batteriemonitor den ich im Motorrad verbaut habe. Wenn ich den auslesen kann baue ich direkt noch welche in die anderen Fahrzeuge die nicht täglich oder sogar Monate lang nicht fahren.

Am Ende wird es auf dem Dashboard angezeigt das ich mal wieder laden müsste. Und gerade hier ist euer Projekt richtig interessant da alle Battery Guards per BLE funktionieren und die Fahrzeuge ja nicht selten außerhalb des Hauses stehen. Ich hab glück dass sich die Handyapp verbindet wenn ich durch den Hof laufe, aber den ESP kann ich in die Garage schrauben und habe so immer Empfang.

Hast du eine Idee wie ich die richtige Service UUID herausfinde? Kann ich mich mit einem Sniffer auf dem Handy zwischen App und dem BT Modul schalten? Oder kann man sogar mit dem ESP Sniffen was in der Luft los ist?

Ich würde mein Projekt auch ins Wiki packen - da hab ich auch schon ein Zugang

So wie ich das sehe hab ich sogar 2020 mal was bei MQTT eingetragen. Damals bin ich aber beim MiFlora gescheitert. Das wird diesmal besser.

Beta-User · 11 Juni 2024, 08:34:38

Zitat von: rspecht am 11 Juni 2024, 07:51:21Hast du eine Idee wie ich die richtige Service UUID herausfinde? Kann ich mich mit einem Sniffer auf dem Handy zwischen App und dem BT Modul schalten? Oder kann man sogar mit dem ESP Sniffen was in der Luft los ist?

@DigiH - Falls du hier mitliest: Das würde mich auch interessieren...

Habe auch einen eigenen Anwendungsfall, auch ein Akku, aber mit Daly-BMS. Da gibt es zwar auch Projekte, die direkt mit einem ESP auf die serielle Schnittstelle gehen, aber eigentlich wäre es m.E. auch da elegant, wenn man das sowieso vorhandene (BT-) OpenMQTTGateway schlicht mit dafür verwenden könnte.
Wird euch vielleicht überraschen, aber von dem ganzen BT-Funkverkehr verstehe ich so gut wie nichts, und soweit ich das bisher (mit eher oberflächlicher Suche) finden konnte, hat sich mit diesem Weg auch bisher keiner beschäftigt...

Zitat von: rspecht am 11 Juni 2024, 07:51:21Ich würde mein Projekt auch ins Wiki packen

Das wäre cool, v.a., wenn es (sofern möglich) eine Art "generischer Anleitung" werden würde, die man relativ leicht auf andere Devices anwenden könnte.

DigiH · 11 Juni 2024, 16:20:33

ZitatZitat von: rspecht am 11 Juni 2024, 07:51:21
Hast du eine Idee wie ich die richtige Service UUID herausfinde? Kann ich mich mit einem Sniffer auf dem Handy zwischen App und dem BT Modul schalten? Oder kann man sogar mit dem ESP Sniffen was in der Luft los ist?

@DigiH - Falls du hier mitliest: Das würde mich auch interessieren...

Wenn es keine standard BSIG GATT UUID service/char ist hilft nur nachschauen, in nRFConnect oder einer ähnlichen App, und dann mit den Werten der proprietären App vergleichen und reverse engineeren.

Da wir selbst beim BM6 erpicht drauf sind den Connection Voltage Wert zu bekommen, wäre es toll, wenn man da zusammen arbeiten könnte. In einem anderen Forum meinte ein anderer BM6 Besitzer, dass der Volt-Wert sich sogar auch im Advertising Data befindet, hat sich dann aber nicht mehr gemeldet. Das wäre natürlich noch viel einfacher und auch batterieschonender, wenn der Volt-Wert sich auch so decoden lassen würde wie auch den Batteriestand in %.

So oder so brauchen wir die Mitarbeit eines BM6 Besitzers

Beta-User · 11 Juni 2024, 17:18:26

Zitat von: DigiH am 11 Juni 2024, 16:20:33Wenn es keine standard BSIG GATT UUID service/char ist hilft nur nachschauen, in nRFConnect oder einer ähnlichen App, und dann mit den Werten der proprietären App vergleichen und reverse engineeren.

*grummel* - genau sowas wollte ich (nicht) hören (bezogen auf das Daly-Thema)...

Was soll's - habe jetzt mal ein nRF52840-Dongle geordert (soweit ich verstanden habe, ist das für den nRFConnect-App erforderlich und ggf. auch hilfreich für den matter-Krams), vielleicht habe ich ja irgendwann mal Lust, mir das näher anzusehen; andere Projekte haben leider grade Vorrang, und bit-Schubsen war noch nie meine Stärke...

Trotzdem FETTES Danke für die schnelle Antwort!!!

DigiH · 11 Juni 2024, 17:23:06

ZitatWas soll's - habe jetzt mal ein nRF52840-Dongle geordert (soweit ich verstanden habe, ist das für den nRFConnect-App erforderlich und ggf. auch hilfreich für den matter-Krams)

Ich meinte da eigentlich einfach die kostenfreie nRF Connect app fürs Smartphone ohne große Umstände ...

EDIT: Habe mir nochmal die ganzen alten Threads zum BM6 angeschaut, das ganz scheint dann wohl auch noch verschlüsselt zu sein, also muss man wohl noch den Key abgreifen - doch eher involvierter

Für alle BM2 und BM6 Nutzer auch ganz interessant, beim Verwenden der proprietären App:
https://doubleagent.net/discovering-that-your-bluetooth-car-battery-monitor-is-siphoning-up-your-location-data/

Ein Grund mehr auch die BM6 Voltage irgendwann in OpenMQTTGateway zu bekommen

rspecht · 12 Juni 2024, 10:43:15

Moin zusammen,

also ich hab auch den NRF bei Elektor geordert - morgen sollte er ankommen. Dann Sniffe ich mal etwas mit WireShark.
Ich habe ja keinen BM6 - er macht nur so

Ich habe ein Keckeisen Battery Guard von intAct-batterien
https://www.amazon.de/dp/B00ZETXNAQ

Aber den bekommen wir auch noch "klein"

Das OMG auf dem ESP decodiert ja schon alles - was passiert mit unbekannten Daten? Wie würde ich den Interpreter anpassen? Muss ich da kompilieren oder kann ich das Live Konfigurieren?

DigiH · 13 Juni 2024, 17:37:32

ZitatDas OMG auf dem ESP decodiert ja schon alles - was passiert mit unbekannten Daten? Wie würde ich den Interpreter anpassen? Muss ich da kompilieren oder kann ich das Live Konfigurieren?

Dann ist deiner wohl ein BM2 Clone, wenn Batteriestand und Voltage korrekt decodiert werden.

Zum veröffentlichen von unkodierten Daten muss "pubadvdata":true aktiviert werden, dann die neuen unbekannten und unkodierten Daten per MQTT Explorer anschauen.

rspecht · 16 Juni 2024, 22:50:58

So... der Stick ist da und ich habe nrf Connect for Desktop auf meinem PC installiert. Der Stick ist geflashed und er findet schonmal meine BLE Geräte - die Tage gehts weiter

Bisher ist die Useability des NRF52840 Sticks genial. Mal abwarten wie flott ich Etherrape bzw. Wireshark angebunden habe.

rspecht · 03 Juli 2024, 19:10:25

Könnte man nicht "einfach" 2 ESP miteinander koppeln die eine BT Bridge bilden und dann die Pakete mitsniffen? Oder kann ich dem Wireshark beibringen damit er alles liest, auch was "verschlüsselt" übertragen wird? Evtl. kommt man ja auf mehr Infos.

sky64 · 30 November 2025, 21:58:29

Gibts mit dem Batterie Guard neue Erkenntnisse?
Ich hätte da auch Interesse.

dr4g0n · 25 Dezember 2025, 19:08:39

Zitat von: sky64 am 30 November 2025, 21:58:29Gibts mit dem Batterie Guard neue Erkenntnisse?
Ich hätte da auch Interesse.

Ich habe auch Interesse dran. Hat es jemand geschaft die Daten zu bekommen? Wie kann ich den Battery Guard von intact einbinden?

Besteht ggf auch die Möglichkeit die Historischen Daten abzurufen?

Waldmensch · 04 Februar 2026, 02:28:03

Ich habe aktuell versucht den intAct Battery Guard zu hacken (falls es um den hier geht) ich habe dazu 2 seriell verbundene ESP32 als Man in the Middle benutzt. Funktioniert einwandfrei und man kann die Kommunikation zwischen iOS App und dem Teil mitlesen. Leider ist die Kommunikation verschlüsselt und ich und das LLM sind so ziemlich am Ende unseres Lateins. Wir haben verschiedene Angriffsvektoren versucht einschließlich Bruteforce mit der Device Serial. Ich habe mir eine recht ausführliche Dokumentation verfassen lassen über die Kommunikation zwischen Device und App, einschließlich Dok des Versuchsaufbau mit 2 ESP32. Die kann ich bei Bedarf zur Verfügung stellen. Mit hoher Wahrscheinlichkeit wird eine 128bit AES Verschlüsselung benutzt. Alle bekannten XOR Versuche sind gescheitert. Als letzte Möglichkeit bleibt nur noch den Key in der IOS/Android App zu finden bzw. zu reversen was als Key benutzt wird. Ich hätte ja auf die Device serial (MAC) getippt, aber die (alleine) ist es scheinbar nicht. Ich habe leider kein Android Handy. Falls jemand die APK der App besorgen kann, würde ich mal die KI darauf ansetzen. Alternativ könnte man noch das Gerät zerlegen (wird nur mit Dremel oder Hammer gehen) und dort die FW auslesen. Dazu fehlt mir aber das Equipment (Hammer hätte ich da) 😅

Ansonsten ist das Teil in Verbindung mit der App recht nutzlos, weil es nicht selbst historische Daten speichert. Man muss zum loggen mit dem Handy in der Nähe bleiben

Waldmensch · 04 Februar 2026, 10:16:40

Hier die Beobachtungen aus der "Man in the middle" Analyse:

# Battery Guard BLE Protocol - Reverse Engineering Project

**Project Goal:** Decrypt BLE communication between Battery Guard device and mobile app

**Hardware:** Dual-ESP32 bridge system for traffic interception
**Status:** ✅ Bridge operational | ⚡ MAC not in key (PROVEN) | 🔄 App extraction required

---

## 📊 Project Summary

I successfully built a man-in-the-middle BLE bridge using two ESP32 microcontrollers to intercept all communication between a Battery Guard device and its iOS app. The system captures encrypted voltage/temperature data in real-time.

**Key Achievements:**
- ✅ Complete GATT profile mapped
- ✅ AES-128 ECB encryption confirmed
- ✅ Session handshake protocol documented
- ✅ 57.7M+ decryption attempts (all failed)
- ✅ Identified session nonce mechanism
- ✅ Discovered 128-byte key material exchange
- ⚡ **BREAKTHROUGH: Proved device MAC NOT in key (MAC nibble test)**

**Current Challenge:** Decompile mobile app to extract key derivation algorithm and hardcoded secret.

---

## 🔧 Hardware Setup

**The Bridge System:**

```
ESP32 #1 (CLIENT) ←→ Real Battery Guard Device (50:54:7B:81:5A:FB)
↕ (Serial2)
ESP32 #2 (SERVER) ←→ iOS App
```

**Wiring:**
- ESP32 #1 GPIO16 (RX2) → ESP32 #2 GPIO17 (TX2)
- ESP32 #1 GPIO17 (TX2) → ESP32 #2 GPIO16 (RX2)
- ESP32 #1 GND → ESP32 #2 GND

**How It Works:**
1. ESP32 #1 connects to real Battery Guard via BLE
2. ESP32 #2 emulates Battery Guard for the app
3. All traffic flows through Serial2 link (115200 baud)
4. Both ESP32s log full hex dumps to USB serial monitors
5. Perfect bidirectional traffic capture!

---

## 📡 BLE Protocol Breakdown

**Main Service: 0xFFF0**
- **0xfff3 (WRITE):** Command characteristic - app sends 16-byte commands
- **0xfff4 (NOTIFY):** Data characteristic - device sends encrypted notifications (~1 Hz)

**Device Information:**
- Device Name: "Battery Guard"
- MAC Address: 50:54:7B:81:5A:FB
- Serial Number: Same as MAC (printed on device!)
- System ID: FB 5A 81 00 00 7B 54 50 (reversed MAC with padding)

**Important Discovery:** The app validates the device by reading **System ID (0x2a23)**, NOT by checking the BLE MAC address! This is why the bridge works - the ESP32 SERVER's MAC doesn't matter because it forwards the System ID read to the real device, which responds with the correct serial number. The app only cares that System ID matches the configured device serial.

---

## 🔐 Encryption Analysis

**Confirmed Facts:**
- Algorithm: **AES-128 ECB mode** (16-byte blocks)
- Key Length: 128 bits (16 bytes)
- Notification Frequency: ~1000ms (1 Hz)
- Notification Size: 16 bytes (encrypted voltage/temperature)

**What Makes This Interesting:**

The protocol uses a **deterministic session key derivation**:
- 5 of 6 handshake commands are CONSTANT (device-specific)
- Write #4 is VARIABLE (session nonce - changes per connection)
- Same Write #4 = Same encryption key (NO key rotation!)
- This means replay attacks work!

---

## 🎯 The Handshake Protocol

When the app connects, it sends **6 write commands** (all 16 bytes):

**Write Commands:**

Write #1: 1A D6 F0 5E 49 90 AB 24 B8 4D 57 DF 81 D8 76 6E ← CONSTANT
Write #2: B4 F4 D8 C9 63 F0 41 00 E0 3F E4 AC 72 8A 59 20 ← CONSTANT
Write #3: EC 8C 75 2B D2 9E 70 81 23 A4 98 4A 69 C4 44 2E ← CONSTANT
Write #4: [CHANGES PER SESSION - SESSION NONCE] ← VARIABLE
Write #5: D3 90 BF 65 D7 D8 57 43 6E 94 71 04 2F 85 45 6F ← CONSTANT
Write #6: 69 7E A0 B5 D5 4C F0 24 E7 94 77 23 55 55 41 14 ← CONSTANT

**Critical Discovery:**
Write #4 is the only variable command! It acts as a session challenge/nonce. When I captured multiple sessions, I confirmed:
- Same Write #4 = Identical encrypted notifications
- Different Write #4 = Different encryption
- No time-based key rotation

This is a **deterministic key derivation** - perfect for reverse engineering once we find the algorithm!

---

## 📦 The 160-Byte Mystery

After Write #3 and Write #4, the device sends special **160-byte notifications** (not the usual 16-byte ones):

**Structure Breakdown:**

*Common Header (80 bytes):* Same in both notifications
```
E9 E2 BA 43 A6 3C 0B 5B 6A F0 4A 3C 66 09 3E 70
E3 3C 44 58 BD 4A 42 5D B3 90 DB F4 CD B0 0C CA
58 CA 96 B4 1A 3B 90 4E 9F 36 93 39 F2 A3 38 6E
4F 2E 1E 90 F9 15 7C B0 4F 4C 96 A5 99 73 A6 49
89 73 61 A3 7C BF EE 3C EF 8A AA BA E7 AB BC 94
```

*After Write #3:* 48 bytes unique key material + 32 bytes padding
```
0A 47 50 A8 36 E7 C6 0E 03 FF AE C7 CB EB 61 F7
96 08 A9 27 2F 79 7A 44 2C F6 73 88 67 98 F2 36
35 A1 39 AA EC 53 76 68 02 44 F7 AF 76 F6 4D 0F
[+ padding: 48 5E E1 04... repeated 2×]
```

*After Write #4:* No unique data, just 80 bytes padding
```
[Padding: 48 5E E1 04 0E 6F F0 6D B4 09 A8 43 83 D5 5C 8E repeated 5×]
```

**Analysis:**
- Total unique cryptographic material = **128 bytes** (80 + 48)
- Matches AES-128 key length perfectly!
- Write #3 response contains the key material
- Write #4 response is just confirmation/acknowledgment

---

## 🔬 Decryption Attempts (All Failed)

**What I've Tested:**

1. **MAC Address Permutations:** 57,657,600 keys
- Direct MAC, reversed, with/without colons, upper/lower case
- Result: ❌ 0 matches

2. **Hash-Based Keys:** 88 variants
- MD5, SHA1, SHA256, SHA512 of MAC/serial
- With salts, prefixes, suffixes
- Result: ❌ 0 matches

3. **160-Byte Notification Data:** 179 candidates
- All 16-byte segments from 160-byte packets
- XOR combinations, hash derivatives
- Result: ❌ 0 matches

4. **Direct 128-Byte Test:** 8 key candidates
- All 16-byte segments from unique 128 bytes
- Tested against known encrypted patterns
- Result: ❌ No valid decryption

5. **Dictionary Attacks:** 34 common patterns
- "password", device serial, manufacturer codes
- Result: ❌ 0 matches

**Conclusion:** The AES key is **derived** through a custom algorithm, not directly copied from any traffic data.

---

## ⚡ BREAKTHROUGH: MAC Nibble Test (Feb 4, 2026)

**The Test:**
To determine if the device MAC address is part of the encryption key, I modified the ESP32 SERVER to report a different System ID:
- **Original:** FB 5A 81 00 00 7B 54 50 (serial: 50547B815AFB)
- **Modified:** FC 5A 81 00 00 7B 54 50 (serial: 50547B815AFC)
- Configured the app with the modified serial: **50547B815AFC**

**Expected Outcomes:**
- ✅ If encryption **works**: Key is 100% app-generated
- ⚠️ If encryption **breaks**: Device MAC is part of key derivation
- 🚫 If app **rejects**: Different validation mechanism

**Result:** ✅ **APP CONNECTED AND DISPLAYED CORRECT DECRYPTED VALUES!**

**What This Proves:**
1. **Device MAC is NOT part of encryption key** - All 57.7M+ MAC-based attempts were wrong direction
2. **Key is 100% app-generated** - Derived from handshake commands + app secret
3. **MAC/serial is only for validation** - System ID read (0x2a23) validates device, doesn't affect encryption
4. **App extraction is MANDATORY** - The key derivation algorithm lives entirely in the app code

**Updated Key Derivation Formula:**
```
SessionKey = DeriveKey(
Write#1 (const),
Write#2 (const),
Write#3 (const),
Write#4 (nonce),
Write#5 (const),
Write#6 (const),
160-byte-response (128 unique bytes),
[HARDCODED_APP_SECRET] ← This is what we need to find!
)
```

This single test saved potentially months of hardware-based cryptanalysis. The path forward is clear: decompile the app!

---

## 📱 Next Steps: App Extraction Required

Since traffic analysis is exhausted, the only way forward is to extract and decompile the mobile app:

**Plan:**
1. Download APK from Google Play (or IPA from iOS)
2. Decompile with jadx-gui (Android) or similar tool
3. Search for:
- AES key derivation functions
- References to "0xfff3", "0xfff4" characteristics
- Encryption/decryption code
- Session key generation

**What We're Looking For:**
```
SessionKey = DeriveKey(
Write#1 (const),
Write#2 (const),
Write#3 (const),
Write#4 (nonce),
Write#5 (const),
Write#6 (const),
160-byte-header (80 bytes),
Write#3-response-unique (48 bytes),
DeviceMAC
)
```

The algorithm is deterministic (proven by reproducible encryption), so once we find it in the app code, we can decrypt all captured traffic!

---

## 🎓 Lessons Learned

1. **ESP32 is perfect for BLE MITM** - NimBLE library handles everything
2. **Serial2 link is reliable** - No packet loss at 115200 baud
3. **Deterministic crypto is good for RE** - Reproducible results help analysis
4. **Traffic analysis has limits** - Eventually you need the source code
5. **Documentation is crucial** - Capturing 3 sessions revealed the Write #4 pattern

---

## 📂 Project Files

All code and documentation available:
- `main.cpp` - 600+ lines of commented ESP32 bridge code
- `platformio.ini` - Build config with configurable device MAC
- `README.md` - Complete setup guide with ASCII hardware diagram
- `PROTOCOL_ANALYSIS.md` - Detailed protocol documentation
- `OBSERVATIONS.md` - Research notes and findings

The bridge works perfectly - it's a solid foundation for anyone doing BLE reverse engineering!

---

## 🤔 Questions for the Community

1. **Has anyone analyzed this device or similar ones?**
- Brand: "Battery Guard" / "intAct Battery Check"
- Vendor ID: 0x07D7
- Looking for APK or key derivation info

2. **Better cryptanalysis approaches?**
- Should I try known-plaintext attacks?
- Any other AES ECB vulnerabilities to exploit?

3. **App extraction tips?**
- Best tools for iOS IPA extraction without jailbreak?
- Recommended decompilers for finding crypto code?

---

**Thanks for reading!** Any suggestions or collaboration offers are welcome. This has been a fun project and I'm determined to crack this encryption! 🔓

---

*Last Updated: February 4, 2026*
*Status: Awaiting app extraction - all documentation complete*