BLOOMFUZZ : Unveiling Bluetooth L2CAP Vulnerabilities via State Cluster Fuzzing with Target-Oriented State Machines
타깃 지향 상태머신을 활용한 상태 클러스터 퍼징을 통한 블루투스 L2CAP 계층 취약점 탐지 연구
- 주제(키워드) Bluetooth Security , L2CAP Security , Stateful Fuzzing
- 발행기관 고려대학교 대학원
- 지도교수 이희조
- 발행년도 2025
- 학위수여년월 2025. 2
- 학위명 석사
- 학과 및 전공 대학원 컴퓨터학과(정보대학)
- 세부전공 컴퓨터보안 전공
- 원문페이지 50 p
- 실제URI http://www.dcollection.net/handler/korea/000000291043
- UCI I804:11009-000000291043
- DOI 10.23186/korea.000000291043.11009.0001890
- 본문언어 영어
초록/요약
Bluetooth technologies are widely utilized across various devices. Despite the ad- vantages, the lack of security in Bluetooth can pose critical threats. Existing approaches that rely solely on Bluetooth specification have failed to bridge the gap between doc- umentation and implemented devices. Therefore, they struggle to (1) precisely gener- ate state machines for target devices and (2) accurately track states during the fuzzing process, resulting in low fuzzing efficiency. In this paper, we propose BLOOMFUZZ, a stateful fuzzer to discover vulnerabilities in Bluetooth Logical Link Control and Adap- tation Protocol (L2CAP) layer. Utilizing the concept of the state cluster, which is a set of one or more states with similar attributes, BLOOMFUZZ can generate a target-oriented state machine by pruning unimplemented states (missing states) and addressing states that are implemented but not introduced in the specification (hidden states). Further- more, BLOOMFUZZ enhances fuzzing efficiency by generating valid test packets for each cluster via cluster-based state machine tracking. When we applied BLOOMFUZZ to real-world Bluetooth devices, we observed that BLOOMFUZZ outperformed existing L2CAP fuzzers by (1) discovering 56 potential vulnerabilities (more than twice compared to existing fuzzers), (2) precisely generating a target-oriented state machine, (3) significantly reducing the probability of test packets being rejected (from 76% to 23%), and (4) producing nine times more valid malformed test packets. Our proposed approach can contribute to preventing threats within L2CAP, thereby rendering a secure Bluetooth environment.
more초록/요약
블루투스 기술은 다양한 기기에서 널리 활용되고 있다. 그러나 이러한 이 점에도 불구하고, 블루투스 보안 취약점은 심각한 위협이 될 수 있다. 현재 블 루투스 명세에만 의존하는 기존 접근 방식은 문서와 구현된 기기 사이의 간 극을 해소하지 못하고 있다. 이에 따라 (1) 타깃 기기에 맞는 정확한 상태 머 신 생성을 실패하며, (2) 퍼징 과정 동안 상태 추적이 부정확해져 퍼징 효율 이 낮아지는 문제가 있다. 본 논문에서는 블루투스 Logical Link Control and Adaptation Protocol (L2CAP) 계층의 취약점을 발견하기 위해 상태 기반 퍼저 인 BLOOMFUZZ 를 제안한다. BLOOMFUZZ 는 유사한 속성을 지닌 하나 이상 의 상태 집합인 ”상태 클러스터” 개념을 활용하여, 구현되지 않은 상태(missing state)를 제거하고, 명세에는 정의되어 있지 않지만 실제 구현된 상태(hidden state)를 고려한 타깃 지향 상태 머신을 생성한다. 또한 BLOOMFUZZ 는 클러 스터 기반의 상태 머신 추적을 통해 각 클러스터에 유효한 테스트 패킷을 생성하여 퍼징 효율을 향상시킨다. 우리는 실제 블루투스 기기에 BLOOMFUZZ 를 적용하였다. 이 결과, 기존 L2CAP 퍼저 대비 (1) 56개의 잠재적 취약점을 발견하였으며(기존 퍼저 대비 2배 이상), (2) 타깃 지향 상태 머신을 정확하게 생성하고, (3) 테스트 패킷이 거부되는 확률을 76%에서 23%로 크게 줄였으며, (4) 9배 이상의 유효한 변조 테스트 패킷을 생성하는 성과를 보였다. 우리의 접 근 방식은 L2CAP 내 위협을 예방하고, 안전한 블루투스 환경을 조성하는 데 기여할 수 있다.
more목차
Abstract i
국문초록 iii
Acknowledgments v
Table of Contents vii
List of Tables viii
List of Figures ix
1 Introduction 1
2 Motivation 5
2.1 Background 5
2.2 Technical Challenges 6
3 Design of BLOOMFUZZ 10
3.1 State machine construction (P1) 11
3.2 Cluster-based packet mutation (P2) 15
3.3 Crash detection (P3) 18
4 Evaluation 20
4.1 Experimental setup 20
4.2 Experiment on crash detection 23
4.3 Effectiveness of state machine generation 24
4.4 Efficiency of state tracking and packet mutation 25
5 Discussion 28
5.1 Limitations 28
5.2 Applicability of BLOOMFUZZ 29
6 Related works 30
6.1 Bluetooth fuzzing 30
6.2 General Bluetooth vulnerability discovery 31
6.3 Other protocol vulnerability detection 31
6.4 General vulnerability detection techniques 31
7 Conclusion 32
Reference 33
