裸奔的智能插座：博联Broadlink SP2/SP mini的分析、破解

https://www.jianshu.com/p/028b10bc3dd1

智能设备的联动通常采用IFTTT的方式，但这种方式受限于官方软件提供的功能。想要自主地灵活控制，需要有官方SDK，或知道协议细节。本文通过捕获、分析Broadlink SP设备（含SP2和SP mini）的协议数据，达到重放（replay）控制的效果。在这个过程中，对其安全性也有了更深入的认识。

有前人做过类似的工作，但抓包过程较为繁琐。本文的方法比较便捷，可以很容易地进行本地和远程的分析。这个方法也可供研究其它智能设备时借鉴。

在路由器上用tcpdump抓包，基本行为研究

家里的路由器是刷了OpenWRT的，所以可以直接尝试在路由器上用tcpdump抓包。

实验1：不打开任何App时，观察插座上的活动。

命令：tcpdump -i ra0 udp and host sp3 -U -s0 -w /tmp/tmp.pcap -c 30 -vvv
(sp3是我的第3个SP类型的设备，并不是指型号；上面的命令是抓到30个UDP包就停止)

在Wireshark中打开抓获的pcap文件：

 

image.png

可以看到：大约每25秒，插座会向Broadlink的服务器（112.124.35.104）报告一次自己的状态。可称之为在线状态报告。

实验2：在4G网络下（不用Wi-Fi），打开手机App对应的插座状态界面

 

image.png

可以看到，大约每3秒，插座会向Broadlink的服务器（112.124.35.104）报告一次自己的开关状态。当然&#x