一篇文章玩转蓝牙安全神器Spooftooph

蓝牙（Bluetooth）已经成为我们日常生活中不可或缺的无线通信技术——耳机、键盘、手机、智能手表、车载系统……几乎每台设备都配备了蓝牙。然而，便利性的另一面是攻击面。

在 Kali Linux 中，有一款低调但功能强大的蓝牙专用工具——Spooftooph。专为蓝牙设备指纹识别、地址伪造和身份克隆而设计。本文将从安装、扫描、克隆到实战场景，带你完全掌握Spooftooph 的使用。

关于

Spooftooph 是一款 蓝牙设备地址/名称/类别伪造工具，它的核心能力包括：

简单来说：Spooftooph 可以让你的蓝牙适配器「变成」任意一台蓝牙设备。

安装

# Kali Linux 预装，如果没有：
sudo apt update && sudo apt install spooftooph -y

# 验证安装
spooftooph --help

硬件

需要注意的是，要使用此设备。我们需要蓝牙硬件的支持。在虚拟机中，无法使用Windows的蓝牙驱动。

# 查看蓝牙适配器状态
hciconfig -a

# 启动蓝牙适配器
sudo hciconfig hci0 up

看到hci0说明有蓝牙设备加载没问题

看到hci0说明有蓝牙设备加载没问题

小试牛刀

Spooftooph 最常用的就是扫描模式。执行下面命令，开始扫描。

sudo spooftooph -i hci0 -s

参数说明：

• • -i hci0： 指定蓝牙接口
• • -s： 扫描周围设备

扫描结果解读：

• BD_ADDR — 蓝牙 MAC 地址

• Name — 设备名称

• Class — 设备类别代码

每一台蓝牙设备都有一个全球唯一的 BD_ADDR，这和 MAC 地址一样，可以被伪造—这正是 Spooftooph 的核心攻击面。

设备克隆与身份伪造

👹手动伪造身份

假设你扫描到了一台目标设备：

BD_ADDR:  00:93:37:F0:4E:51
Name:     逍遥子大表哥
Class:    0x2a410c

你可以让本机蓝牙完全冒充这台设备：

# 关闭蓝牙接口（必须先 down 才能改地址）
sudo hciconfig hci0 down
# 修改 BD_ADDR、名称和类别
sudo spooftooph -i hci0 -a 00:93:37:F0:4E:51 -n "逍遥子大表哥" -c 0x2a410c
# 重新启动接口
sudo hciconfig hci0 up

当然，除了手动指定外，我们还可以让其随机产生以上信息。

sudo spooftooph -i hci0 -R

参数说明： -R 会一次性随机生成新的 BD_ADDR、Name 和 Class，适合：

• 渗透测试中隐藏真实身份

• 绕过基于 MAC 地址的蓝牙访问控制列表（ACL）

• 蓝牙物理层社会工程学演练

👾实时克隆模式

sudo spooftooph -i hci0 -t 30

-t 参数指定 每 30 秒 扫描一次并自动克隆范围内最强信号的蓝牙设备。这是实战中最常用的模式——坐在地铁、咖啡厅或办公区，开着笔记本，它会自动捕获并克隆附近设备。

实战场景

🎃场景 1：蓝牙中间人（MITM）攻击

场景描述：牛X公司使用蓝牙门禁卡系统，门禁读卡器通过 BD_ADDR 白名单验证。

实验步骤： 聪明如你，在目标门禁附近用 Spooftooph 扫描：

sudo spooftooph -i hci0 -s -w whitelist_scan.csv

记录已授权员工设备的 BD_ADDR，接下来使用 Spooftooph 克隆其中一个地址：

sudo hciconfig hci0 down
sudo spooftooph -i hci0 -a <已授权BD_ADDR>
sudo hciconfig hci0 up

此时你的设备被门禁系统识别为已授权设备

防御建议： 门禁系统不应仅依赖 BD_ADDR 认证，应加入配对密钥、RSSI 行为分析等多因子验证。

🍿场景 2：蓝牙设备身份劫持

场景描述：大表哥有一个蓝牙音箱。初次连接后，下次会自动连接。而通过劫持，会诱导受害者手机连接伪造的蓝牙耳机/音箱。从而在攻击者的设备中响起了熟悉的声音~。

实验步骤： 扫描发现目标受害者附近有一台音箱：

BD_ADDR:  12:34:56:78:9A:BC
Name:     小米音箱
Class:    0x240404

克隆该耳机身份：

sudo hciconfig hci0 down
sudo spooftooph -i hci0 -a 12:34:56:78:9A:BC -n "小米音箱" -c 0x240404
sudo hciconfig hci0 up

接下来，当表哥用手机自动尝试重连「已配对的耳机」时，实际连接到了你的机器。

防御建议： 用户应留意设备重连提示，不轻易接受未知配对请求。手机蓝牙在不使用时建议关闭。

⚽️场景 3：蓝牙设备指纹收集与资产测绘

在企业渗透测试的内网阶段，蓝牙设备可能被忽略但同样有价值。

#!/bin/bash
# bluetooth_survey.sh - 蓝牙资产测绘脚本
INTERVAL=30
COUNT=10

for i in $(seq 1 $COUNT); do
    echo "[$i/$COUNT] Scanning..."
    sudo spooftooph -i hci0 -s -w bt_survey.csv 2>/dev/null
    sleep $INTERVAL
done

echo "Done. Results saved to bt_survey.csv"

可以用 Excel 或 Python 分析 CSV，统计出：哪些类型设备最多？哪些设备长期在线？异常设备等。

🎯场景 4：蓝牙拒绝服务（DoS）

虽然 Spooftooph 本身不是 DoS 工具，但结合身份克隆可以实现有趣的链路干扰：

1. 克隆一个合法蓝牙音箱的身份

2. 多个攻击者机器同时广播该身份

3. 目标手机在多个「假音箱」之间反复切换，连接不稳定，导致音频服务中断

防御措施

对于蓝队和安全运维人员，以下措施可以有效防御 Spooftooph 类的攻击：

总结

Spooftooph 虽然是一款老牌工具，但在蓝牙渗透测试领域依然保持着它的独特价值。当然，现代蓝牙协议（BLE 4.2+）引入了 地址随机化、LE Secure Connections 等安全增强机制，对大范围无差别蓝牙攻击有了一定的免疫力。但在以下场景，Spooftooph 仍然非常有效。

更多精彩文章 欢迎关注我们