Go stairiúil, úsáideann formhór na bhfostaithe méarchláir gan sreang agus lucha ó Logitech. Agus ár bpasfhocail á gcur isteach arís, d'fhiafraigh muidne, speisialtóirí na foirne Slándála Racún, dúinn féin: cé chomh deacair is atá sé meicníochtaí slándála méarchláir gan sreang a sheachbhóthar? Nocht an staidéar lochtanna ailtireachta agus earráidí bogearraí a cheadaíonn rochtain ar shonraí ionchuir. Faoi bhun an ghearrtha tá an méid a fuaireamar.
Cén fáth Logitech?
Is é ár dtuairim go bhfuil feistí ionchuir Logitech i measc na gcaighdeán is airde agus is áisiúla. Tá an chuid is mó de na feistí atá againn bunaithe ar réiteach Logitech Is glacadóir dongle uilíoch é a ligeann duit suas le 6 fheiste a nascadh. Tá gach feiste atá ag luí le teicneolaíocht Logitech Unifying marcáilte le lógó teicneolaíochta Logitech Unifying. Éasca le húsáid Ligeann sé duit nasc méarchláir gan sreang le do ríomhaire a bhainistiú. Clúdaítear an próiseas chun an méarchlár a nascadh leis an dongle glacadóra Logitech, chomh maith leis an teicneolaíocht féin, mar shampla, .
Glacadóir dongle le tacaíocht Logitech Unifying
Féadfaidh an méarchlár a bheith ina fhoinse faisnéise d'ionsaitheoirí. Thug Logitech, ag cur san áireamh an bhagairt a d'fhéadfadh a bheith ann, cúram slándála - d'úsáid sé algartam criptithe AES128 i gcainéal raidió an mhéarchláir gan sreang. Is é an chéad smaoineamh a d'fhéadfadh a bheith ag ionsaitheoir sa chás seo ná príomhfhaisnéis a thascradh nuair a tharchuirtear í thar chainéal raidió le linn an nós imeachta ceangailteach. Tar éis an tsaoil, má tá eochair agat, is féidir leat comharthaí raidió an mhéarchláir a thascradh agus iad a dhíchriptiú. Mar sin féin, is annamh a chaithfidh an t-úsáideoir (nó fiú riamh) an méarchlár a aontú, agus beidh ar hacker le raidió scanadh fanacht i bhfad. Ina theannta sin, níl gach rud chomh simplí leis an bpróiseas idircheapadh féin. Sa staidéar is déanaí i mí an Mheithimh 2019, d'fhoilsigh an saineolaí slándála Markus Mengs ar líne faoi theacht ar leochaileacht i seanfhirmware dongles USB Logitech. Ligeann sé d’ionsaitheoirí a bhfuil rochtain fhisiciúil acu ar fheistí eochracha criptithe cainéil raidió a fháil agus eochairbhuillí a instealladh (CVE-2019-13054).
Labhróimid faoinár staidéar slándála ar an dongle Logitech bunaithe ar an NRF24 SoC ó Nordach Semiconductor. Cuirimis tús, b’fhéidir, leis an gcainéal raidió féin.
Conas a “eitilt” sonraí i gcainéal raidió
Le haghaidh anailíse ar mhinicíocht ama ar an gcomhartha raidió, d’úsáideamar glacadóir SDR bunaithe ar an ngléas Blade-RF i mód anailíseora speictrim (is féidir leat léamh faoi seo freisin ).
Gléas SDR Blade-RF
Rinneamar breithniú freisin ar an bhféidearthacht ceathairéadair den chomhartha raidió a thaifeadadh ag minicíocht idirmheánach, a bhféadfaí anailís a dhéanamh orthu ansin trí úsáid a bhaint as teicnící próiseála comhartha digiteacha.
An Coimisiún Stáit ar mhinicíochtaí raidió de Chónaidhm na rúise le húsáid ag gléasanna gearr-raoin, is é an raon minicíochta ná 2400–2483,5 MHz. Is raon an-"daonra" é seo, nach bhfaighidh tú rud ar bith: Wi-Fi, Bluetooth, gach cineál cianrialtán, córais slándála, brathadóirí gan sreang, lucha le méarchláir agus gléasanna digiteacha eile gan sreang.
Speictream an bhanda 2,4 GHz
Tá an timpeallacht trasnaíochta sa raon casta go leor. In ainneoin seo, bhí Logitech in ann fáiltiú iontaofa agus cobhsaí a sholáthar trí úsáid a bhaint as prótacal ShockBurst Feabhsaithe sa transceiver NRF24 i gcomhcheangal le halgartaim oiriúnaithe minicíochta.
Cuirtear cainéil i mbanda ag suíomhanna slánuimhir MHz mar atá sainmhínithe i Leathsheoltóir Nordach NRF24 - 84 cainéal san iomlán sa ghreille minicíochta. Is lú, ar ndóigh, líon na gcainéal minicíochta a úsáideann Logitech go comhuaineach. D'aithníomar úsáid ceithre ar a laghad. Mar gheall ar bandaleithead teoranta an anailísí speictrim comhartha a úsáideadh, níorbh fhéidir liosta cruinn na suíomhanna minicíochta a úsáideadh a chinneadh, ach ní raibh sé seo riachtanach. Tarchuirtear faisnéis ón méarchlár go dtí an dongle glacadóra i mód Burst (casadh gearr ar an tarchuradóir) ag baint úsáide as modhnú minicíochta dhá-shuíomh GFSK ag ráta siombaile 1 Mbaud:
Comhartha raidió méarchláir i léiriú ama
Úsáideann an glacadóir prionsabal comhghaoil glactha, agus mar sin tá brollach agus cuid seoltaí sa phaicéad tarchurtha. Ní úsáidtear códú torainn-resistant; tá an comhlacht sonraí criptithe leis an algartam AES128.
Go ginearálta, is féidir comhéadan raidió méarchlár gan sreang Logitech a shaintréithe go hiomlán asincrónach le ilphléacsáil staitistiúil agus oiriúnú minicíochta. Ciallaíonn sé seo go n-athraíonn an tarchuradóir méarchláir an cainéal chun gach paicéad nua a tharchur. Níl a fhios ag an nglacadóir roimh ré an t-am tarchurtha nó an cainéal minicíochta, ach níl a fhios ach a liosta. Buaileann an glacadóir agus an tarchuradóir le chéile sa chainéal a bhuíochas do sheachbhóthar minicíochta comhordaithe agus halgartaim éisteachta, chomh maith le meicníochtaí admhála ShockBurst Feabhsaithe. Níl aon fhiosrú againn an bhfuil an liosta cainéal seasta. Is dócha, tá a athrú mar gheall ar an algartam oiriúnú minicíochta. Is féidir rud éigin gar don mhodh hopping minicíochta (tiúnadh bréagach randamach ar an minicíocht oibriúcháin) a fheiceáil in úsáid acmhainn minicíochta an raoin.
Mar sin, faoi choinníollacha neamhchinnteachta am-minicíochta, chun glacadh ráthaithe na gcomharthaí méarchláir go léir a chinntiú, beidh ar ionsaitheoir monatóireacht leanúnach a dhéanamh ar an eangach minicíochta iomlán de 84 post, rud a éilíonn méid suntasach ama. Anseo éiríonn sé soiléir cén fáth a bhfuil leochaileacht eastóscadh eochrach USB (CVE-2019-13054) suite mar an cumas chun eochairbhuillí a instealladh, seachas rochtain ionsaitheoir a fháil ar shonraí a iontráladh ón méarchlár. Ar ndóigh, tá comhéadan raidió an mhéarchláir gan sreang casta go leor agus soláthraíonn sé cumarsáid raidió iontaofa idir feistí Logitech i gcoinníollacha trasnaíochta deacra sa bhanna 2,4 GHz.
Súil ar an bhfadhb ón taobh istigh
Le haghaidh ár gcuid staidéir, roghnaigh muid ceann dár méarchláir Logitech K330 atá ann cheana féin agus dongle Logitech Unifying.
Logitech K330
A ligean ar ghlacadh le breathnú taobh istigh den méarchlár. Gné shuimiúil ar an gclár le staidéar a dhéanamh air ná an sliseanna SoC NRF24 ó Nordic Semiconductor.
SoC NRF24 ar bord méarchláir gan sreang Logitech K330
Tá an firmware suite sa chuimhne inmheánach, tá meicníochtaí léitheoireachta agus dífhabhtaithe díchumasaithe. Ar an drochuair, níor foilsíodh an firmware i bhfoinsí oscailte. Dá bhrí sin, shocraigh muid chun cur chuige an fhadhb ón taobh eile - chun staidéar a dhéanamh ar an ábhar inmheánach an glacadóir dongle Logitech.
Tá “domhan istigh” an ghlacadóra dongle suimiúil go leor. Déantar an dongle a dhíchóimeáil go héasca, cuireann sé ar bord an scaoileadh NRF24 aithnidiúil le rialtóir USB ionsuite agus is féidir é a athchlárú ón taobh USB agus go díreach ón ríomhchláraitheoir.
Logitech dongle gan tithíocht
Ós rud é go bhfuil meicníocht chaighdeánach ann chun an firmware a nuashonrú ag baint úsáide as (as ar féidir leat an leagan firmware nuashonraithe a bhaint as), ní gá an firmware a lorg taobh istigh den dongle.
Cad a rinneadh: baineadh firmware RQR_012_005_00028.bin as comhlacht an iarratais Firmware Update Tool. Chun a sláine a sheiceáil, ceanglaíodh an rialtóir dongle le cábla :
Cábla chun an dongle Logitech a nascadh leis an ríomhchláraitheoir ChipProg 48
Chun sláine an fhirmware a rialú, cuireadh go rathúil é i gcuimhne an rialaitheora agus d'oibrigh sé i gceart, bhí an méarchlár agus an luch ceangailte leis an dongle trí Logitech Unifying. Is féidir firmware modhnaithe a uaslódáil ag baint úsáide as an meicníocht nuashonraithe chaighdeánaigh, toisc nach bhfuil aon mheicníochtaí cosanta cripteagrafacha ann don fhirmware. Chun críocha taighde, d'úsáideamar nasc fisiceach leis an ríomhchláraitheoir, ós rud é go bhfuil dífhabhtú i bhfad níos tapúla ar an mbealach seo.
Taighde firmware agus ionsaí ar ionchur úsáideora
Tá an sliseanna NRF24 deartha bunaithe ar chroílár ríomhaireachta Intel 8051 in ailtireacht thraidisiúnta Harvard. Maidir leis an gcroílár, feidhmíonn an transceiver mar fheiste forimeallach agus cuirtear é sa spás seoltaí mar shraith clár. Is féidir doiciméid don sliseanna agus samplaí den chód foinse a fháil ar an Idirlíon, agus mar sin níl sé deacair an firmware a dhíchóimeáil. Le linn na hinnealtóireacht droim ar ais, rinneamar logánú ar na feidhmeanna chun sonraí eochairbhuillí a fháil ón gcainéal raidió agus é a thiontú go formáid HID le haghaidh tarchur chuig an ósta tríd an gcomhéadan USB. Cuireadh an cód insteallta i seoltaí cuimhne saor in aisce, lena n-áirítear uirlisí le haghaidh rialú idircheapadh, an comhthéacs forghníomhaithe bunaidh a shábháil agus a athchóiriú, chomh maith le cód feidhme.
Déantar an paicéad de bhrú nó scaoileadh eochair a fhaigheann an dongle ón gcainéal raidió a dhíchriptiú, a thiontú go tuairisc HID caighdeánach agus a sheoladh chuig an comhéadan USB amhail ó mhéarchlár rialta. Mar chuid den staidéar, is é an chuid den tuarascáil HID is mó spéise dúinn ná an chuid den tuarascáil HID ina bhfuil beart de bhratacha mionathraithe agus sraith 6 beart le cóid eochairbhuillí (mar thagairt, faisnéis faoi HID ).
Struchtúr tuairisce HID:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;Díreach roimh an struchtúr HID a tharchur chuig an ósta, glacann an cód insteallta smacht, cóipeáil 8 beart de shonraí dúchasacha HID mar chuimhne agus cuireann sé chuig an gcainéal taobh raidió i dtéacs soiléir. Breathnaíonn sé mar seo i gcód:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<Tá an cainéal taobh eagraithe ag minicíocht a leagamar le tréithe áirithe de luas ionramhála agus struchtúr paicéid.
Oibriú an trasghlacadóir sa sliseanna bunaithe ar ghraf staid ina bhfuil an prótacal ShockBurst Feabhsaithe comhtháite go horgánach. Fuair muid amach go díreach roimh sonraí HID a tharchur chuig an comhéadan USB óstach, bhí an transceiver i stát IDLE. Mar sin is féidir é a athchumrú go sábháilte chun oibriú i gcainéal taobh. Déanann an cód instealladh rialú idircheapadh, caomhnaíonn sé an chumraíocht transceiver bunaidh go hiomlán agus aistríonn sé go modh tarchurtha nua ar an gcainéal taobh. Tá meicníocht dearbhaithe ShockBurst Feabhsaithe díchumasaithe sa mhód seo; tarchuirtear sonraí HID i bhfoirm shoiléir thar an aer. Taispeántar struchtúr an phaicéid sa chainéal taobh sa fhigiúr thíos, fuarthas na léaráidí comhartha tar éis demodulation agus roimh athchóiriú sioncrónaithe clog sonraí. Roghnaíodh an luach seolta ar mhaithe le héascaíocht an phacáiste a shainaithint.
Comhartha Pléasctha Dímhodlaithe sa Taobhchainéal
Tar éis an paicéad a tharchur chuig an gcainéal taobh, déanann an cód insteallta staid an transceiver a athchóiriú. Anois tá sé réidh arís chun oibriú de ghnáth i gcomhthéacs an fhirmware bunaidh.
Sna fearainn minicíochta agus am-minicíochta, tá cuma mar seo ar an taobhchainéal:
Léiriú speictreach agus am-minicíocht an chainéil taobh
Chun oibriú sliseanna NRF24 le firmware modhnaithe a thástáil, chuireamar seastán le chéile a chuimsigh dongle Logitech le firmware modhnaithe, méarchlár gan sreang agus glacadóir a cuireadh le chéile ar bhonn modúl Síneach leis an sliseanna NRF24.
Ciorcad idircheapadh comhartha raidió méarchlár gan sreang Logitech
Modúl bunaithe ar NRF24
Ar an mbinse, agus an méarchlár ag feidhmiú de ghnáth, tar éis é a nascadh leis an dongle Logitech, thugamar faoi deara tarchur sonraí soiléire faoi eochairbhuillí sa chainéal raidió taobh agus tarchur gnáth sonraí criptithe sa phríomh-chomhéadan raidió. Mar sin, bhíomar in ann idircheapadh díreach a sholáthar ar ionchur méarchláir úsáideora:
Mar thoradh ar ionchur méarchlár a idircheapadh
Tugann an cód instealladh isteach moill bheag ar oibriú an firmware dongle. Mar sin féin, tá siad ró-bheag chun an t-úsáideoir a thabhairt faoi deara.
Mar is féidir leat a shamhlú, is féidir aon mhéarchlár Logitech atá comhoiriúnach leis an teicneolaíocht Aontú a úsáid don veicteoir ionsaí seo. Ós rud é go ndíríonn an t-ionsaí ar an nglacadóir Aontú a chuimsítear leis an gcuid is mó de na méarchláir Logitech, tá sé neamhspleách ar mhúnla sonrach an mhéarchláir.
Conclúid
Tugann torthaí an staidéir le fios go bhféadfadh ionsaitheoirí an cás a mheastar a úsáid: má chuireann hacker in ionad an íospartaigh glacadóir dongle le haghaidh méarchlár gan sreang Logitech, ansin beidh sé in ann pasfhocail chuntas an íospartaigh a fháil amach le gach rud ina dhiaidh sin. iarmhairtí. Ná déan dearmad go bhfuil sé indéanta freisin eochairbhuillí a instealladh, rud a chiallaíonn nach bhfuil sé deacair cód treallach a fhorghníomhú ar ríomhaire an íospartaigh.
Cad a tharlóidh más rud é go tobann gur féidir le hionsaitheoir firmware aon dongle Logitech a mhodhnú go cianda trí USB? Ansin, ó dongles dlúth spásáil, is féidir leat líonra athsheoltóirí a chruthú agus an t-achar sceite a mhéadú. Cé go mbeidh ionsaitheoir “saibhir ó thaobh airgid” in ann “éisteacht” le hionchur méarchláir agus eochracha brúigh fiú ó fhoirgneamh in aice láimhe, ceadóidh trealamh glactha raidió nua-aimseartha le córais an-roghnacha, glacadóirí raidió íogaire le hamanna tiúnta minicíochta gearra agus aeróga ardtreocha iad. chun “éisteacht” le hionchur méarchláir agus brúigh eochracha fiú ó fhoirgneamh in aice láimhe.
Trealamh raidió gairmiúla
Ós rud é go bhfuil an cainéal tarchurtha sonraí gan sreang ar an méarchlár Logitech cosanta go maith, éilíonn an veicteoir ionsaithe aimsithe rochtain fhisiciúil ar an nglacadóir, rud a chuireann srian mór ar an ionsaitheoir. Is é an t-aon rogha cosanta sa chás seo ná meicníochtaí cosanta cripteagrafacha a úsáid le haghaidh firmware an ghlacadóra, mar shampla, síniú an fhirmware luchtaithe a sheiceáil ar thaobh an ghlacadóra. Ach, ar an drochuair, ní thacaíonn NRF24 leis seo agus tá sé dodhéanta cosaint a chur i bhfeidhm laistigh den ailtireacht gléas atá ann faoi láthair. Mar sin tabhair aire do do dongles, toisc go n-éilíonn an rogha ionsaí a thuairiscítear rochtain fhisiciúil orthu.
Is foireann speisialta saineolaithe é Raccoon Security ó Ionad Taighde agus Forbartha Vulcan i réimse na slándála faisnéise praiticiúla, cripteagrafaíochta, dearadh ciorcad, innealtóireacht droim ar ais agus cruthú bogearraí ar leibhéal íseal.
Foinse: will.com