Gu h-eachdraidheil, bidh a’ mhòr-chuid de luchd-obrach a’ cleachdadh meur-chlàran gun uèir agus luchagan bho Logitech. A’ dol a-steach do na faclan-faire againn a-rithist, dh’ fhaighnich sinne, eòlaichean sgioba Raccoon Security, dhuinn fhìn: dè cho duilich ‘s a tha e faighinn seachad air dòighean tèarainteachd meur-chlàran gun uèir? Nochd an sgrùdadh lochdan ailtireil agus mearachdan bathar-bog a leigeas le daoine faighinn a-steach gu dàta a-steach. Fon gearradh tha na fhuair sinn.
Carson a tha Logitech?
Nar beachd-sa, tha innealan cuir a-steach Logitech am measg an ìre as àirde agus as freagarraiche. Tha a’ mhòr-chuid de na h-innealan a th’ againn stèidhichte air fuasgladh Logitech
Glacadair Dongle le taic Logitech Unifying
Faodaidh am meur-chlàr a bhith na stòr fiosrachaidh dha luchd-ionnsaigh. Ghabh Logitech, a’ toirt aire don chunnart a dh’ fhaodadh a bhith ann, aire do thèarainteachd - chleachd e an algairim crioptachaidh AES128 ann an sianal rèidio a’ mheur-chlàr gun uèir. Is e a’ chiad bheachd a dh’ fhaodadh a bhith aig neach-ionnsaigh san t-suidheachadh seo a bhith a’ gabhail a-steach prìomh fhiosrachadh nuair a thèid a chuir thairis air seanal rèidio rè a’ mhodh ceangail. Às deidh na h-uile, ma tha iuchair agad, faodaidh tu casg a chuir air comharran rèidio a ’mheur-chlàr agus an dì-chrioptachadh. Ach, is ann ainneamh a dh'fheumas an neach-cleachdaidh (no eadhon a-riamh) am meur-chlàr aonachadh, agus feumaidh neach-tarraing le rèidio sganaidh feitheamh ùine mhòr. A bharrachd air an sin, chan eil a h-uile dad cho sìmplidh leis a’ phròiseas eadar-ghabhail fhèin. Anns an sgrùdadh as ùire san Ògmhios 2019, dh’ fhoillsich eòlaiche tèarainteachd Markus Mengs air-loidhne
Bruidhnidh sinn mun sgrùdadh tèarainteachd againn air an dongle Logitech stèidhichte air an NRF24 SoC bho Nordic Semiconductor. Feuch an tòisich sinn, is dòcha, leis an t-sianal rèidio fhèin.
Mar a bhios dàta “ag itealaich” ann an sianal rèidio
Airson mion-sgrùdadh tricead ùine air a’ chomharra rèidio, chleachd sinn inneal-glacaidh SDR stèidhichte air an inneal Blade-RF ann am modh anailisiche speactram (faodaidh tu cuideachd leughadh mu dheidhinn seo
Inneal SDR Blade-RF
Bheachdaich sinn cuideachd air comasachd ceithir-cheàrnach den chomharra rèidio a chlàradh aig tricead eadar-mheadhanach, a ghabhadh an uairsin a sgrùdadh a’ cleachdadh dòighean làimhseachaidh chomharran didseatach.
Coimisean na Stàite air triceadan rèidio ann an Caidreachas na Ruis
Spectrum den chòmhlan 2,4 GHz
Tha an àrainneachd eadar-theachd san raon gu math iom-fhillte. A dh’ aindeoin seo, bha e comasach dha Logitech fàilteachadh earbsach is seasmhach a thoirt seachad tro bhith a’ cleachdadh protocol ShockBurst Leasaichte anns an transceiver NRF24 ann an co-bhonn ri algorithms atharrachadh tricead.
Tha seanalan ann am bann air an cur aig suidheachaidhean MHz iomlan mar a tha mìnichte ann
Comharra rèidio meur-chlàr ann an riochdachadh ùine
Bidh an cuidhteas a’ cleachdadh prionnsapal co-dhàimh fàilteachaidh, agus mar sin tha ro-ràdh agus pàirt seòlaidh anns a’ phacaid tar-chuir. Chan eilear a’ cleachdadh còdadh dìon-fuaim; tha am buidheann dàta air a chrioptachadh leis an algairim AES128.
San fharsaingeachd, faodar eadar-aghaidh rèidio meur-chlàr gun uèir Logitech a chomharrachadh mar gu tur asyncronach le iomadachadh staitistigeil agus atharrachadh tricead. Tha seo a’ ciallachadh gum bi inneal-sgaoilidh a’ mheur-chlàir ag atharrachadh an t-seanail gus gach pacaid ùr a thar-chuir. Chan eil fios aig a’ ghlacadair ro-làimh an dàrna cuid an ùine tar-chuir no an t-sianal tricead, ach chan eil fios ach air an liosta aca. Bidh an cuidhteas agus an inneal-sgaoilidh a’ coinneachadh san t-sianal le taing do seach-rathad tricead co-òrdanaichte agus algorithms èisteachd, a bharrachd air dòighean aithneachaidh ShockBurst leasaichte. Chan eil sinn air sgrùdadh a dhèanamh a bheil an liosta seanail gun samhail. Is dòcha gu bheil an atharrachadh aige mar thoradh air an algairim atharrachaidh tricead. Chithear rudeigin faisg air a’ mhodh hopping tricead (gleusadh pseudo-air thuaiream den tricead obrachaidh) ann an cleachdadh goireas tricead an raoin.
Mar sin, fo chumhachan mì-chinnt tricead ùine, gus dèanamh cinnteach gum faighear a h-uile comharra meur-chlàr cinnteach, feumaidh neach-ionnsaigh sùil a chumail gu cunbhalach air a’ ghriod tricead iomlan de 84 suidheachadh, a dh ’fheumas tòrr ùine. An seo tha e a’ fàs soilleir carson a tha so-leòntachd às-tharraing iuchair USB (CVE-2019-13054)
Sùil air an duilgheadas bhon taobh a-staigh
Airson an sgrùdadh againn, thagh sinn aon de na meur-chlàran Logitech K330 a th’ againn agus dongle Logitech Unifying.
Logitech K330
Bheir sinn sùil taobh a-staigh a’ mheur-chlàr. Is e eileamaid inntinneach air a ’bhòrd airson sgrùdadh a dhèanamh air a’ chip SoC NRF24 bho Nordic Semiconductor.
SoC NRF24 air bòrd meur-chlàr gun uèir Logitech K330
Tha am firmware suidhichte ann an cuimhne a-staigh, tha dòighean leughaidh agus deasbaid ciorramach. Gu mì-fhortanach, cha deach am firmware fhoillseachadh ann an stòran fosgailte. Mar sin, chuir sinn romhainn dèiligeadh ris an duilgheadas bhon taobh eile - sgrùdadh a dhèanamh air na tha a-staigh de ghlacadair dongle Logitech.
Tha “saoghal a-staigh” a’ ghlacadair dongle gu math inntinneach. Tha an dongle air a chuir às a chèile gu furasta, a’ giùlan air bòrd an sgaoileadh eòlach NRF24 le rianadair USB togte agus faodar ath-chlàradh an dà chuid bhon taobh USB agus gu dìreach bhon phrògramadair.
Logitech dongle gun taigheadas
Leis gu bheil uidheamachd àbhaisteach ann airson am firmware ùrachadh le bhith a ’cleachdadh
Na chaidh a dhèanamh: chaidh firmware RQR_012_005_00028.bin a thoirt a-mach à corp an tagraidh Firmware Update Tool. Gus sgrùdadh a dhèanamh air ionracas, bha an rianadair dongle ceangailte ri càball
Càball airson an dongle Logitech a cheangal ris a’ phrògramadair ChipProg 48
Gus smachd a chumail air ionracas a ’firmware, chaidh a chuir gu soirbheachail ann an cuimhne an rianadair agus dh’ obraich e gu ceart, bha am meur-chlàr agus an luchag ceangailte ris an dongle tro Logitech Unifying. Tha e comasach firmware atharraichte a luchdachadh suas a ’cleachdadh an uidheamachd ùrachaidh àbhaisteach, leis nach eil uidheamachd dìon criptografach ann airson a’ firmware. Airson adhbharan rannsachaidh, chleachd sinn ceangal corporra ris a’ phrògramadair, leis gu bheil debugging fada nas luaithe san dòigh seo.
Rannsachadh firmware agus ionnsaigh air cuir a-steach luchd-cleachdaidh
Tha a’ chip NRF24 air a dhealbhadh stèidhichte air cridhe coimpiutaireachd Intel 8051 ann an ailtireachd traidiseanta Harvard. Airson a ’chridhe, bidh an transceiver ag obair mar inneal iomaill agus air a chuir anns an àite seòlaidh mar sheata de chlàran. Gheibhear sgrìobhainnean airson na h-eisimpleirean de chip agus còd stòr air an eadar-lìn, agus mar sin chan eil e duilich am firmware a thoirt às a chèile. Rè innleadaireachd cùil, rinn sinn ionadail na gnìomhan airson a bhith a’ faighinn dàta keystroke bhon t-sianal rèidio agus ga thionndadh gu cruth HID airson a chuir chun aoigh tron eadar-aghaidh USB. Chaidh an còd stealladh a chuir ann an seòlaidhean cuimhne an-asgaidh, a bha a ’toirt a-steach innealan airson smachd a chumail air, sàbhaladh agus ath-nuadhachadh a’ cho-theacsa cur gu bàs tùsail, a bharrachd air còd gnìomh.
Tha am pasgan de bhrùthadh no leigeil ma sgaoil iuchair a gheibh an dongle bhon t-sianal rèidio air a dhì-chrioptachadh, air a thionndadh gu aithisg HID àbhaisteach agus air a chuir chun eadar-aghaidh USB mar bho mheur-chlàr àbhaisteach. Mar phàirt den sgrùdadh, is e am pàirt den aithisg HID as inntinniche dhuinn am pàirt den aithisg HID anns a bheil byte de bhrataichean mion-atharrachaidh agus sreath de 6 bytes le còdan buille-iuchrach (airson fiosrachadh, fiosrachadh mu HID
Structar aithisg HID:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;
Dìreach mus tèid an structar HID a chuir chun aoigh, bidh an còd stealladh a ’gabhail smachd, a’ dèanamh leth-bhreac de 8 bytes de dhàta HID dùthchasach mar chuimhneachan agus ga chuir chun t-sianal taobh rèidio ann an teacsa soilleir. Ann an còd tha e coltach mar seo:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<
Tha an sianal taobh air a chuir air dòigh aig tricead a shuidhich sinn le feartan sònraichte de astar làimhseachaidh agus structar pacaid.
Obrachadh an transceiver anns a 'chip
Comharran burst burst demodulated ann an Side Channel
Às deidh don phacaid a bhith air a ghluasad chun t-sianal taobh, bidh an còd stealladh ag ath-nuadhachadh staid an transceiver. A-nis tha e deiseil a-rithist airson obrachadh gu h-àbhaisteach ann an co-theacsa a’ firmware tùsail.
Anns na raointean tricead agus tricead ùine, tha coltas mar seo air an t-sianal taobh:
Riochdachadh speactra agus tricead ùine den t-sianal taobh
Gus deuchainn a dhèanamh air obrachadh a’ chip NRF24 le firmware atharraichte, chuir sinn ri chèile seasamh a bha a’ toirt a-steach dongle Logitech le firmware atharraichte, meur-chlàr gun uèir agus cuidhteas air a chruinneachadh air bunait modal Sìneach leis a’ chip NRF24.
Cuairt eadar-ghluasaid comharra rèidio meur-chlàr Logitech
Modal stèidhichte air NRF24
Air a ’bheing, leis a’ mheur-chlàr ag obair gu h-àbhaisteach, às deidh dhuinn a cheangal ris an Logitech dongle, chunnaic sinn sgaoileadh dàta soilleir mu phrìomh bhuillean san t-sianal rèidio taobh agus tar-chuir àbhaisteach dàta crioptaichte anns a ’phrìomh eadar-aghaidh rèidio. Mar sin, bha e comasach dhuinn eadar-bheachd dìreach a thoirt seachad air cuir a-steach meur-chlàr neach-cleachdaidh:
Toradh cuir a-steach meur-chlàr eadar-ghabhail
Tha an còd stealladh a’ toirt a-steach beagan dàil ann an obrachadh firmware dongle. Ach, tha iad ro bheag airson an neach-cleachdaidh mothachadh.
Mar a shaoileadh tu, faodar meur-chlàr Logitech sam bith a tha co-chosmhail ri teicneòlas Unifying a chleachdadh airson an vectar ionnsaigh seo. Leis gu bheil an ionnsaigh ag amas air a’ ghlacadair Unifying a tha air a ghabhail a-steach leis a’ mhòr-chuid de mheur-chlàran Logitech, tha e neo-eisimeileach bhon mhodail meur-chlàr sònraichte.
co-dhùnadh
Tha toraidhean an sgrùdaidh a’ moladh gum faodadh luchd-ionnsaigh an suidheachadh air a bheilear a’ beachdachadh a chleachdadh: ma chuireas neach-tarraing inneal-glacaidh dongle an àite an neach-fulang airson meur-chlàr gun uèir Logitech, bidh e comasach dha na faclan-faire ann an cunntasan an neach-fulaing fhaighinn a-mach leis a h-uile càil a tha ri thighinn. builean. Na dì-chuimhnich gu bheil e comasach cuideachd iuchraichean a chuir a-steach, a tha a 'ciallachadh nach eil e doirbh còd neo-riaghailteach a chuir an gnìomh air coimpiutair an neach-fulaing.
Dè ma tha e gu h-obann gun urrainn do neach-ionnsaigh am firmware atharrachadh air astar dongle Logitech sam bith tro USB? An uairsin, bho dongles faisg air làimh, faodaidh tu lìonra de ath-chraoladairean a chruthachadh agus an astar aoidionachd àrdachadh. Ged a bhios e comasach dha neach-ionnsaigh “beairteach gu h-ionmhasail” “èisteachd” ri cuir a-steach meur-chlàr agus iuchraichean a bhrùthadh eadhon bho thogalach faisg air làimh, leigidh uidheamachd fàilteachaidh rèidio ùr-nodha le siostaman fìor roghnach, glacadairean rèidio mothachail le amannan gleusaidh tricead goirid agus antennas làn stiùiridh dhaibh. gus “èisteachd” ri cuir a-steach meur-chlàr agus brùth iuchraichean eadhon bho thogalach ri thaobh.
Uidheam rèidio proifeasanta
Leis gu bheil an t-sianal tar-chuir dàta gun uèir de mheur-chlàr Logitech air a dhìon gu math, feumaidh an vectar ionnsaigh a chaidh a lorg ruigsinneachd corporra air a ’ghlacadair, a tha gu mòr a’ cuingealachadh an neach-ionnsaigh. Is e an aon roghainn dìon anns a ’chùis seo a bhith a’ cleachdadh uidheamachd dìon criptografach airson firmware an ghlacadair, mar eisimpleir, a ’sgrùdadh ainm-sgrìobhte a’ firmware luchdaichte air taobh an ghlacadair. Ach, gu mì-fhortanach, chan eil NRF24 a’ toirt taic dha seo agus tha e do-dhèanta dìon a chuir an gnìomh taobh a-staigh ailtireachd gnàthach an uidheim. Mar sin thoir an aire air na dongles agad, oir feumaidh an roghainn ionnsaigh a chaidh a mhìneachadh faighinn gu corporra thuca.
Tha Raccoon Security na sgioba sònraichte de eòlaichean bho Ionad Sgrùdaidh is Leasachaidh Vulcan ann an raon tèarainteachd fiosrachaidh practaigeach, criptography, dealbhadh cuairteachaidh, innleadaireachd cùil agus cruthachadh bathar-bog aig ìre ìosal.
Source: www.habr.com