Un atacante puede acceder al tráfico de una red Bluetooth (piconet) obteniendo la tabla de saltos de frecuencia mediante la recepción del paquete FHS durante el establecimiento de la piconet. Esto permitirá al atacante sincronizarse con la red y "escuchar" el tráfico.

2. Un atacante puede tener acceso al tráfico intercambiado en
una piconet si dispone de la tabla que contiene la secuencia o
patrón de saltos de frecuencia que utilizan los dispositivos
pertenecientes a esa piconet.
Para obtener esta tabla, únicamente necesita estar presente
en el momento en el que la piconet se establece entre
maestro y esclavos y recibir el paquete FHS (Frequency Hop
Synchronization) que permite sincronizar su reloj interno con
el reloj del maestro y también generar el patrón de saltos de
frecuencia que sigue dicha piconet.
A partir de entonces, formará parte de la piconet y podrá
sniffar el tráfico.

3. Su Desarrollo..
En Octubre de 2002 FTE desarrolló el primer analizador del protocolo
Bluetooth comercial, FTS4BT, un sniffer dotado de una tecnología muy
avanzada cuyo precio rondaba los miles de $. Durante varios años, fue la
única herramienta capaz de sniffar tráfico Bluetooth.
En 2007 Max Moser publicó en su paper Busting The Bluetooth® Myth –
Getting RAW Access un procedimiento para construir un sniffer Bluetooth
a partir de un adaptador Bluetooth convencional. Básicamente, consiguió
instalar en un adaptador convencional el firmware de un sniffer comercial
y obtener con éxito la parte hardware de un sniffer Bluetooth.
En el mismo año, Andrea Bittau y Dominic Spill publicaron el paper
BlueSniff: Eve meets Alice and Bluetooth, en el que demostraron que es
posible determinar los parámetros necesarios para calcular la secuencia
de saltos de frecuencia y obtener un mecanismo para sniffar Bluetooth.
Posteriormente, Andrea Bittau publicó BTSniff, una implementación
práctica para enviar comandos a un hardware sniffer y sincronizarlo con
los dispositivos de una piconet.

4. Como construir tu propio sniffer
Bluetooth
 Seguiremos el procedimiento descrito por
Max Moser para construir tu propio sniffer
Bluetooth a partir de un adaptador USB
Bluetooth convencional.
 Para esta practica implementaremos en un
Ubuntu.

5. Adaptador Bluetooth USB

6. Características

7.  El adaptador Bluetooth necesita cumplir dos requerimientos para
poder ser convertido en un sniffer Bluetooth:

8. Necesitas conseguir las siguientes herramientas:
 bccmd: permite modificar la configuración del firmware
 dfutool: permite flashear el adaptador y actualizar el firmware
# sudo apt-get install libbluetooth2 libbluetooth2-dev libusb-0.1-4
libusb-dev
# cvs -d:pserver:anonymous@cvs.bluez.org:/cvsroot/bluez login
# cvs -d:pserver:anonymous@cvs.bluez.org:/cvsroot/bluez co utils
# cd utils/tools
# gcc -lusb -lbluetooth csr.c csr_3wire.c csr_bcsp.c csr_h4.c csr_hci.c
csr_usb.c ubcsp.c bccmd.c -o bccmd
# gcc -lusb -lbluetooth csr.c dfutool.c -o dfutool
También hace falta descargarse e instalar el paquete Frontline Test
Equipment FTS4BT versión <= 5.6.9.0, que contiene el firmware
airsnifferdev4*bc4.dfu que luego utilizaremos para actualizar el
adaptador Bluetooth.

9. El procedimiento es simple. En primer lugar, la herramienta FTS4BT requiere
Cierta configuración para poder reconocer el adaptador como sniffer
hardware.
Hay que cambiar el id de producto (debería ser 0x0002) y el id de fabricante
(debería ser 0x0a12).

10. Después, es recomendable hacer backup del firmware existente en el
adaptador Bluetooth antes de flashearlo y cargarle el firmware
airsnifferdev4*bc4.dfu.

11.  Si se utiliza el firmware airsnifferdev5*bc4.dfu el adaptador puede quedar
inservible así que es importante obtener la versión correcta de FTS4BT (la que
contiene airsnifferdev4*bc4.dfu).
Tras haber realizado con éxito estas operaciones, se puede observar que el
adaptador Bluetooth se encuentra en modo RAW.

12. Los bytes RX y TX deberían ir en aumento.

13. Bibliografía
 http://d.hatena.ne.jp/eggman/20071126
 http://www.seguridadmobile.com/bluetooth/s
eguridad-bluetooth/construir-sniffer-
Bluetooth.html
 http://www.evilgenius.de/wp-
content/uploads/2008/03/diy_bt_sniffer.pdf