Ιστορικά, οι περισσότεροι υπάλληλοι χρησιμοποιούν ασύρματα πληκτρολόγια και ποντίκια Logitech. Για άλλη μια φορά εισάγοντας τους κωδικούς μας, εμείς οι ειδικοί της ομάδας Raccoon Security αναρωτηθήκαμε: πόσο δύσκολο είναι να παρακάμψουμε τους μηχανισμούς ασφαλείας των ασύρματων πληκτρολογίων; Η έρευνα που διεξήχθη αποκάλυψε αρχιτεκτονικά ελαττώματα και σφάλματα λογισμικού που επιτρέπουν την πρόσβαση στα δεδομένα εισόδου. Κάτω από το κόψιμο - αυτό που πήραμε.
Γιατί Logitech;
Κατά τη γνώμη μας, οι συσκευές εισόδου Logitech είναι από τις πιο ποιοτικές και πιο βολικές. Οι περισσότερες συσκευές που διαθέτουμε βασίζονται στη λύση Logitech είναι ένας γενικός δέκτης dongle που σας επιτρέπει να συνδέσετε έως και 6 συσκευές. Όλες οι συσκευές που είναι συμβατές με την τεχνολογία Logitech Unifying επισημαίνονται με το αντίστοιχο λογότυπο. Εύχρηστος σας επιτρέπει να διαχειρίζεστε τη σύνδεση ασύρματων πληκτρολογίων στον υπολογιστή σας. Η διαδικασία σύνδεσης του πληκτρολογίου με τον δέκτη dongle Logitech, καθώς και η ίδια η τεχνολογία, καλύπτονται λεπτομερώς, για παράδειγμα, .
Logitech Unifying Dongle Receiver
Το πληκτρολόγιο μπορεί να γίνει πηγή πληροφοριών για εισβολείς. Η Logitech, λαμβάνοντας υπόψη την πιθανή απειλή, φρόντισε για την ασφάλεια - εφάρμοσε τον αλγόριθμο κρυπτογράφησης AES128 στο ραδιοφωνικό κανάλι του ασύρματου πληκτρολογίου. Η πρώτη σκέψη που μπορεί να επισκεφθεί έναν εισβολέα σε αυτήν την περίπτωση είναι η υποκλοπή βασικών πληροφοριών κατά τη μετάδοσή τους στον αέρα κατά τη διαδικασία δέσμευσης. Άλλωστε, αν έχετε κλειδί, μπορείτε να υποκλέψετε τα ραδιοσήματα του πληκτρολογίου και να τα αποκρυπτογραφήσετε. Ωστόσο, είναι πολύ σπάνιο (ή ποτέ) ένας χρήστης να δεσμεύσει ένα πληκτρολόγιο με μια διαδικασία Unifying και ένας χάκερ με ραδιόφωνο σάρωσης θα πρέπει να περιμένει πολύ καιρό. Επιπλέον, δεν είναι όλα τόσο απλά με την ίδια τη διαδικασία υποκλοπής. Στην τελευταία μελέτη τον Ιούνιο του 2019, ο ειδικός σε θέματα ασφάλειας Markus Mengs δημοσίευσε στο διαδίκτυο σχετικά με την ανακάλυψη μιας ευπάθειας στο παλιό υλικολογισμικό των Logitech USB dongles. Επιτρέπει στους εισβολείς με φυσική πρόσβαση σε συσκευές να αποκτούν κλειδιά κρυπτογράφησης ραδιοφωνικών καναλιών και να εισάγουν πλήκτρα (CVE-2019-13054).
Θα καλύψουμε τη μελέτη ασφαλείας μας για ένα dongle Logitech που βασίζεται στο NRF24 SoC της Nordic Semiconductor. Και ας ξεκινήσουμε, ίσως, από το ίδιο το ραδιοφωνικό κανάλι.
Πώς «πετούν» τα δεδομένα στο ραδιοφωνικό κανάλι
Για ανάλυση χρόνου-συχνότητας του ραδιοφωνικού σήματος, χρησιμοποιήσαμε έναν δέκτη SDR που βασίζεται στη συσκευή Blade-RF σε λειτουργία αναλυτή φάσματος (μπορείτε επίσης να διαβάσετε σχετικά ).
Συσκευή SDR Blade-RF
Εξετάσαμε επίσης τη δυνατότητα καταγραφής τεταρτημορίων του ραδιοφωνικού σήματος σε ενδιάμεση συχνότητα προκειμένου στη συνέχεια να τα αναλύσουμε χρησιμοποιώντας μεθόδους ψηφιακής επεξεργασίας σήματος.
Κρατική Επιτροπή Ραδιοσυχνοτήτων στη Ρωσική Ομοσπονδία για χρήση από συσκευές μικρής εμβέλειας στην περιοχή συχνοτήτων 2400-2483,5 MHz. Πρόκειται για μια πολύ «πληθυσμένη» σειρά, στην οποία δεν θα βρείτε τίποτα: Wi-Fi, Bluetooth, όλων των ειδών τα τηλεχειριστήρια, συστήματα ασφαλείας, ασύρματοι ανιχνευτές, ποντίκια με πληκτρολόγια και άλλες ασύρματες ψηφιακές συσκευές.
Φάσμα ζώνης 2,4 GHz
Η κατάσταση παρεμβολών στην περιοχή είναι μάλλον περίπλοκη. Παρόλα αυτά, η Logitech κατάφερε να παρέχει αξιόπιστη και σταθερή λήψη χρησιμοποιώντας το πρωτόκολλο Enhanced ShockBurst στον πομποδέκτη NRF24 σε συνδυασμό με αλγόριθμους προσαρμογής συχνότητας.
Τα κανάλια στη ζώνη τοποθετούνται σε θέσεις ακέραιων MHz όπως ορίζονται στο NRF24 Nordic Semiconductor - συνολικά 84 κανάλια στο πλέγμα συχνοτήτων. Ο αριθμός των καναλιών συχνότητας που χρησιμοποιούνται ταυτόχρονα από τη Logitech είναι, φυσικά, μικρότερος. Προσδιορίσαμε τη χρήση τουλάχιστον τεσσάρων. Λόγω του περιορισμένου εύρους του αναλυτή φάσματος σήματος που χρησιμοποιήθηκε, δεν ήταν δυνατό να προσδιοριστεί ο ακριβής κατάλογος των θέσεων συχνότητας που χρησιμοποιήθηκαν, αλλά αυτό δεν ήταν απαραίτητο. Οι πληροφορίες από το πληκτρολόγιο στον δέκτη dongle μεταδίδονται σε λειτουργία Burst (ο σύντομος πομπός ενεργοποιείται) χρησιμοποιώντας τη διαμόρφωση συχνότητας δύο θέσεων GFSK με ρυθμό συμβόλων 1 Mbaud:
Ραδιοφωνικό σήμα πληκτρολογίου σε προβολή χρόνου
Ο δέκτης χρησιμοποιεί την αρχή συσχέτισης της λήψης, επομένως το μεταδιδόμενο πακέτο περιέχει ένα προοίμιο και ένα τμήμα διεύθυνσης. Δεν χρησιμοποιείται κωδικοποίηση διόρθωσης σφαλμάτων, το σώμα δεδομένων κρυπτογραφείται χρησιμοποιώντας τον αλγόριθμο AES128.
Γενικά, η διεπαφή αέρα ενός ασύρματου πληκτρολογίου Logitech μπορεί να χαρακτηριστεί ως πλήρως ασύγχρονη με πολυπλεξία στατιστικής διαίρεσης και απόκριση συχνότητας. Αυτό σημαίνει ότι ο πομπός πληκτρολογίου αλλάζει το κανάλι για να μεταδώσει κάθε νέο πακέτο. Ο δέκτης δεν γνωρίζει εκ των προτέρων ούτε τον χρόνο μετάδοσης ούτε το κανάλι συχνότητας, αλλά μόνο μια λίστα με αυτά. Ο δέκτης και ο πομπός συναντώνται στο κανάλι χάρη στους συμφωνημένους αλγόριθμους παράκαμψης και ακρόασης συχνότητας, καθώς και στους ενισχυμένους μηχανισμούς επιβεβαίωσης ShockBurst. Δεν έχουμε εξετάσει εάν η λίστα καναλιών είναι στατική. Πιθανώς, η αλλαγή του να οφείλεται στον αλγόριθμο προσαρμογής συχνότητας. Κάτι κοντά στη μέθοδο PRCH (ψευδοτυχαίος συντονισμός της συχνότητας λειτουργίας) μαντεύεται στη χρήση του πόρου συχνότητας της περιοχής.
Έτσι, υπό συνθήκες αβεβαιότητας χρόνου-συχνότητας, προκειμένου να διασφαλιστεί η λήψη όλων των σημάτων του πληκτρολογίου, ένας εισβολέας θα πρέπει να παρακολουθεί συνεχώς ολόκληρο το πλέγμα συχνοτήτων της περιοχής των 84 θέσεων, κάτι που απαιτεί σημαντικό κόστος χρόνου. Εδώ γίνεται σαφές γιατί η ευπάθεια εξαγωγής κλειδιού USB (CVE-2019-13054) Τοποθετείται ως η δυνατότητα εισαγωγής πλήκτρων, αντί να αποκτά πρόσβαση από έναν εισβολέα σε δεδομένα που εισάγονται από το πληκτρολόγιο. Προφανώς, η διεπαφή ραδιοφώνου του ασύρματου πληκτρολογίου είναι αρκετά περίπλοκη και παρέχει αξιόπιστη ραδιοεπικοινωνία μεταξύ συσκευών Logitech σε ένα δύσκολο περιβάλλον παρεμβολών στη ζώνη των 2,4 GHz.
Μια εσωτερική ματιά στο πρόβλημα
Για έρευνα, επιλέξαμε ένα από τα διαθέσιμα πληκτρολόγια Logitech K330 και ένα Logitech Unifying dongle.
Logitech K330
Ας ρίξουμε μια ματιά στο εσωτερικό του πληκτρολογίου. Ένα ενδιαφέρον στοιχείο στον πίνακα για έρευνα είναι το τσιπ SoC NRF24 από τη Nordic Semiconductor.
NRF24 SoC στην πλακέτα ασύρματου πληκτρολογίου Logitech K330
Το υλικολογισμικό βρίσκεται στην εσωτερική μνήμη, οι μηχανισμοί ανάγνωσης και εντοπισμού σφαλμάτων είναι απενεργοποιημένοι. Δυστυχώς, το υλικολογισμικό δεν έχει δημοσιευτεί σε ανοιχτούς πόρους. Ως εκ τούτου, αποφασίσαμε να προσεγγίσουμε το πρόβλημα από την άλλη πλευρά - να μελετήσουμε το εσωτερικό περιεχόμενο του δέκτη dongle Logitech.
Ο «εσωτερικός κόσμος» του δέκτη dongle είναι αρκετά ενδιαφέρον. Το dongle αποσυναρμολογείται εύκολα, μεταφέρει το γνωστό σε εμάς NRF24 με ενσωματωμένο ελεγκτή USB και μπορεί να επαναπρογραμματιστεί τόσο από την πλευρά USB όσο και απευθείας από τον προγραμματιστή.
Logitech dongle χωρίς θήκη
Δεδομένου ότι υπάρχει ένας τακτικός μηχανισμός ενημέρωσης υλικολογισμικού που χρησιμοποιεί (από το οποίο μπορείτε να εξαγάγετε την ενημερωμένη έκδοση του υλικολογισμικού), δεν χρειάζεται να αναζητήσετε το υλικολογισμικό μέσα στο dongle.
Τι έγινε: Το υλικολογισμικό RQR_012_005_00028.bin εξήχθη από το σώμα της εφαρμογής Firmware Update Tool. Για να ελεγχθεί η ακεραιότητά του, ο ελεγκτής dongle συνδέθηκε με βρόχο :
Καλώδιο σύνδεσης Logitech dongle για προγραμματιστή ChipProg 48
Για τον έλεγχο της ακεραιότητας του υλικολογισμικού, τοποθετήθηκε με επιτυχία στη μνήμη του ελεγκτή και λειτούργησε σωστά, το πληκτρολόγιο και το ποντίκι συνδέθηκαν στο dongle μέσω του Logitech Unifying. Είναι δυνατή η μεταφόρτωση του τροποποιημένου υλικολογισμικού χρησιμοποιώντας τον τυπικό μηχανισμό ενημέρωσης, καθώς δεν υπάρχουν μηχανισμοί κρυπτογραφικής προστασίας για το υλικολογισμικό. Για ερευνητικούς σκοπούς, χρησιμοποιήσαμε μια φυσική σύνδεση με τον προγραμματιστή, καθώς η αποσφαλμάτωση είναι πολύ πιο γρήγορη με αυτόν τον τρόπο.
Έρευνα υλικολογισμικού και επίθεση στην είσοδο του χρήστη
Το τσιπ NRF24 έχει σχεδιαστεί με βάση τον υπολογιστικό πυρήνα Intel 8051 στην παραδοσιακή αρχιτεκτονική του Χάρβαρντ. Για τον πυρήνα, ο πομποδέκτης λειτουργεί ως περιφερειακή συσκευή και βρίσκεται στο χώρο διευθύνσεων ως ένα σύνολο καταχωρητών. Τεκμηρίωση για το τσιπ και παραδείγματα πηγαίου κώδικα μπορούν να βρεθούν στο Διαδίκτυο, επομένως η αποσυναρμολόγηση του υλικολογισμικού δεν είναι δύσκολη. Κατά τη διάρκεια της αντίστροφης μηχανικής, τοπικοποιήσαμε τις λειτουργίες για τη λήψη δεδομένων πατήματος πλήκτρων από το ραδιοφωνικό κανάλι και τη μετατροπή τους σε μορφή HID για μετάδοση στον κεντρικό υπολογιστή μέσω της διεπαφής USB. Σε διευθύνσεις ελεύθερης μνήμης, τοποθετήθηκε ο κώδικας έγχυσης, ο οποίος περιελάμβανε εργαλεία για την αναχαίτιση ελέγχου, αποθήκευση και επαναφορά του αρχικού περιβάλλοντος εκτέλεσης, καθώς και λειτουργικό κώδικα.
Το πακέτο με το πάτημα ή την απελευθέρωση ενός κλειδιού που λαμβάνεται από το dongle από το ραδιοφωνικό κανάλι αποκρυπτογραφείται, μετατρέπεται σε μια τυπική αναφορά HID και αποστέλλεται στη διεπαφή USB όπως από ένα συμβατικό πληκτρολόγιο. Ως μέρος της μελέτης, το τμήμα της αναφοράς HID που περιέχει το byte των σημαιών του τροποποιητή και έναν πίνακα 6 byte με κωδικούς πληκτρολόγησης μας ενδιαφέρει περισσότερο (για αναφορά, πληροφορίες σχετικά με το HID ).
Δομή αναφοράς HID:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;Αμέσως πριν περάσει η δομή HID στον κεντρικό υπολογιστή, ο κώδικας που εισάγεται λαμβάνει τον έλεγχο, αντιγράφει 8 byte εγγενών δεδομένων HID στη μνήμη και τα στέλνει στο πλευρικό κανάλι του ραδιοφώνου με καθαρό κείμενο. Στον κώδικα μοιάζει με αυτό:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<Το πλευρικό κανάλι είναι οργανωμένο στη συχνότητα που έχουμε ορίσει με ορισμένα χαρακτηριστικά της ταχύτητας χειρισμού και της δομής του πακέτου.
Λειτουργία του πομποδέκτη σε τσιπ βασίζεται σε ένα γράφημα κατάστασης, στο οποίο το πρωτόκολλο Enhanced ShockBurst είναι οργανικά εγγεγραμμένο. Βρήκαμε ότι ο πομποδέκτης βρισκόταν σε κατάσταση IDLE λίγο πριν σταλούν τα δεδομένα HID στη διεπαφή USB του κεντρικού υπολογιστή. Αυτό καθιστά δυνατή την ασφαλή επαναδιαμόρφωσή του για λειτουργία στο πλευρικό κανάλι. Ο εισαγόμενος κωδικός παρακάμπτει τον έλεγχο, διατηρεί την αρχική διαμόρφωση του πομποδέκτη στο σύνολό του και τον θέτει σε νέα λειτουργία μετάδοσης στο πλευρικό κανάλι. Ο μηχανισμός επιβεβαίωσης Enhanced ShockBurst είναι απενεργοποιημένος σε αυτήν τη λειτουργία, τα δεδομένα HID μεταδίδονται σε καθαρό κείμενο μέσω του αέρα. Η δομή του πακέτου στο πλευρικό κανάλι φαίνεται στο παρακάτω σχήμα, τα διαγράμματα σήματος λαμβάνονται μετά την αποδιαμόρφωση και πριν από την ανάκτηση ρολογιού δεδομένων. Η τιμή διεύθυνσης επιλέγεται για την ευκολία της οπτικής αναγνώρισης του πακέτου.
Αποδιαμορφωμένο σήμα ριπής ριπής στο πλευρικό κανάλι
Μετά την ολοκλήρωση της μετάδοσης του πακέτου στο πλευρικό κανάλι, ο εγχυόμενος κωδικός επαναφέρει την κατάσταση του πομποδέκτη. Τώρα είναι έτοιμο να λειτουργήσει ξανά κανονικά στο πλαίσιο του αρχικού υλικολογισμικού.
Στους τομείς συχνότητας και χρόνου-συχνότητας, το πλευρικό κανάλι μοιάζει με αυτό:
Φασματική αναπαράσταση και αναπαράσταση χρόνου-συχνότητας του πλευρικού καναλιού
Για να δοκιμάσουμε τη λειτουργία του τσιπ NRF24 με τροποποιημένο υλικολογισμικό, συναρμολογήσαμε έναν πάγκο δοκιμών που περιελάμβανε ένα dongle Logitech με τροποποιημένο υλικολογισμικό, ένα ασύρματο πληκτρολόγιο και έναν δέκτη που συναρμολογήθηκε με βάση μια κινεζική μονάδα με τσιπ NRF24.
Διάγραμμα ραδιοεντοπισμού ασύρματου πληκτρολογίου Logitech
Μονάδα που βασίζεται στο NRF24
Στον πάγκο, κατά την κανονική λειτουργία του πληκτρολογίου μετά τη σύνδεσή του με το dongle της Logitech, παρατηρήσαμε τη μετάδοση ανοιχτών δεδομένων με πληκτρολόγηση στο πλευρικό ραδιοφωνικό κανάλι και την κανονική μετάδοση κρυπτογραφημένων δεδομένων στην κύρια ραδιοδιεπαφή. Έτσι, καταφέραμε να παρέχουμε άμεση παρακολούθηση της εισόδου του πληκτρολογίου του χρήστη:
Το αποτέλεσμα της παρεμπόδισης της εισόδου του πληκτρολογίου
Ο κωδικός που εισάγεται εισάγει μικρές καθυστερήσεις στη λειτουργία του υλικολογισμικού του dongle. Ωστόσο, είναι πολύ μικρά για να τα παρατηρήσει ο χρήστης.
Όπως καταλαβαίνετε, για ένα τέτοιο διάνυσμα επίθεσης, μπορείτε να χρησιμοποιήσετε οποιοδήποτε πληκτρολόγιο Logitech που είναι συμβατό με την τεχνολογία Unifying. Δεδομένου ότι η επίθεση κατευθύνεται στον δέκτη Unifying που περιλαμβάνεται στα περισσότερα πληκτρολόγια Logitech, είναι ανεξάρτητη από το συγκεκριμένο μοντέλο πληκτρολογίου.
Συμπέρασμα
Τα αποτελέσματα της μελέτης υποδηλώνουν ότι το υπό εξέταση σενάριο μπορεί να χρησιμοποιηθεί από εισβολείς: εάν ένας χάκερ αντικαταστήσει το θύμα με έναν δέκτη dongle για ένα ασύρματο πληκτρολόγιο Logitech, θα είναι σε θέση να ανακαλύψει τους κωδικούς πρόσβασης στους λογαριασμούς του θύματος με όλα τα επακόλουθα συνέπειες. Μην ξεχνάτε ότι είναι επίσης δυνατή η εισαγωγή πλήκτρων, πράγμα που σημαίνει ότι δεν είναι δύσκολο να εκτελέσετε αυθαίρετο κώδικα στον υπολογιστή του θύματος.
Τι γίνεται αν ένας εισβολέας μπορεί να τροποποιήσει εξ αποστάσεως το υλικολογισμικό οποιουδήποτε dongle Logitech μέσω USB; Στη συνέχεια, από στενά τοποθετημένα dongles, μπορείτε να προσθέσετε ένα δίκτυο επαναλήπτες και να αυξήσετε την απόσταση διαρροής. Αν και σύγχρονα μέσα ραδιοφωνικής λήψης με εξαιρετικά επιλεκτικά συστήματα, ευαίσθητοι ραδιοφωνικοί δέκτες με σύντομο χρόνο συντονισμού συχνότητας και στενά κατευθυνόμενες κεραίες θα επιτρέψουν σε έναν «οικονομικά ασφαλή» εισβολέα να «ακούει» την είσοδο του πληκτρολογίου και να πατά πλήκτρα ακόμη και από ένα γειτονικό κτίριο.
Επαγγελματικός ραδιοεξοπλισμός
Δεδομένου ότι η ασύρματη σύνδεση δεδομένων του πληκτρολογίου Logitech είναι αρκετά καλά προστατευμένη, το διάνυσμα επίθεσης που βρέθηκε απαιτεί φυσική πρόσβαση στον δέκτη, γεγονός που περιορίζει σημαντικά τον εισβολέα. Η μόνη επιλογή προστασίας σε αυτή την περίπτωση θα μπορούσε να είναι η χρήση κρυπτογραφικών μηχανισμών προστασίας για το υλικολογισμικό του δέκτη, για παράδειγμα, επαλήθευση της υπογραφής του υλικολογισμικού που έχετε λάβει στο πλάι του δέκτη. Όμως, δυστυχώς, το NRF24 δεν το υποστηρίζει και είναι αδύνατο να εφαρμοστεί προστασία στην τρέχουσα αρχιτεκτονική συσκευής. Φροντίστε λοιπόν τα dongles σας, γιατί η περιγραφόμενη επιλογή επίθεσης απαιτεί φυσική πρόσβαση σε αυτά.
Η Raccoon Security είναι μια αφοσιωμένη ομάδα ειδικών της Vulkan STC στον τομέα της πρακτικής ασφάλειας πληροφοριών, της κρυπτογραφίας, των κυκλωμάτων, της αντίστροφης μηχανικής και της ανάπτυξης λογισμικού χαμηλού επιπέδου.
Πηγή: www.habr.com