Istorikman, pifò anplwaye yo itilize klavye san fil ak sourit nan Logitech. Lè nou antre modpas nou yo yon lòt fwa ankò, nou, espesyalis ekip Raccoon Sekirite a, te mande tèt nou: ki jan li difisil pou kontoune mekanis sekirite klavye san fil yo? Etid la revele defo achitekti ak erè lojisyèl ki pèmèt aksè nan done antre. Anba koupe a se sa nou te resevwa.
Poukisa Logitech?
Nan opinyon nou an, aparèy opinyon Logitech yo pami bon jan kalite ki pi wo a ak pi pratik. Pifò nan aparèy nou genyen yo baze sou solisyon Logitech la se yon reseptè dongle inivèsèl ki pèmèt ou konekte jiska 6 aparèy. Tout aparèy konpatib ak teknoloji Logitech Unifying make ak logo teknoloji Logitech Unifying. Fasil pou itilize Pèmèt ou jere koneksyon an nan klavye san fil nan òdinatè w lan. Pwosesis konekte klavye a ak dongle reseptè Logitech la, ansanm ak teknoloji a li menm, kouvri, pou egzanp, .
Dongle reseptè ak sipò Logitech Unifying
Klavye a ka vin yon sous enfòmasyon pou atakè yo. Logitech, pran an kont menas posib, te pran swen sekirite - te itilize algorithm chifreman AES128 nan chanèl radyo klavye san fil la. Premye panse ke yon atakè ta ka genyen nan sitiyasyon sa a se entèsepte enfòmasyon kle lè li transmèt sou yon chanèl radyo pandan pwosedi obligatwa a. Apre yo tout, si ou gen yon kle, ou ka entèsepte siyal radyo klavye a ak dechifre yo. Sepandan, itilizatè a raman (oswa menm pa janm) gen inifye klavye a, ak yon pirate ak yon radyo optik ap oblije rete tann yon bon bout tan. Anplis de sa, se pa tout bagay ki tèlman senp ak pwosesis entèsepsyon nan tèt li. Nan dènye etid la nan mwa jen 2019, ekspè sekirite Markus Mengs pibliye sou entènèt sou dekouvèt la nan yon vilnerabilite nan firmwèr fin vye granmoun nan dongles Logitech USB. Li pèmèt atakè ki gen aksè fizik nan aparèy yo jwenn kle chifreman chanèl radyo ak enjekte frap (CVE-2019-13054).
Nou pral pale sou etid sekirite nou an nan dongle Logitech ki baze sou NRF24 SoC ki soti nan Nordic Semiconductor. Ann kòmanse, petèt, ak chanèl radyo a li menm.
Ki jan done yo "vole" nan yon chanèl radyo
Pou analiz tan-frekans nan siyal radyo a, nou te itilize yon reseptè SDR ki baze sou aparèy Blade-RF nan mòd analizè spectre (ou ka li tou sou sa a. ).
Aparèy SDR Blade-RF
Nou konsidere tou posiblite pou anrejistre kwadrati siyal radyo a nan yon frekans entèmedyè, ki ta ka analize lè l sèvi avèk teknik pwosesis siyal dijital.
Komisyon Leta sou Frekans Radyo nan Federasyon Larisi la pou itilize pa aparèy kout ranje, ranje frekans lan se 2400-2483,5 MHz. Sa a se yon seri trè "peple", kote ou pa pral jwenn anyen: Wi-Fi, Bluetooth, tout kalite kontwòl remote, sistèm sekirite, detektè san fil, sourit ak klavye ak lòt aparèy dijital san fil.
Spectre nan bann 2,4 GHz
Anviwònman entèferans nan seri a se byen konplèks. Malgre sa, Logitech te kapab bay resepsyon serye ak ki estab atravè itilizasyon pwotokòl Enhanced ShockBurst nan transceiver NRF24 an konbinezon ak algoritm adaptasyon frekans yo.
Chanèl nan yon gwoup yo mete nan pozisyon nonb antye relatif MHz jan sa defini nan NRF24 Nòdik Semiconductor - yon total de 84 chanèl nan kadriyaj frekans lan. Nimewo a nan chanèl frekans yo itilize an menm tan pa Logitech se, nan kou, mwens. Nou idantifye itilizasyon omwen kat. Akòz Pleasant limite nan analizeur spectre siyal yo itilize, lis egzak pozisyon frekans yo itilize pa t 'kapab detèmine, men sa a pa t nesesè. Enfòmasyon ki soti nan klavye a nan dongle reseptè a transmèt nan mòd pete (vire kout sou transmetè a) lè l sèvi avèk modulasyon frekans de pozisyon GFSK nan yon pousantaj senbòl 1 Mbaud:
Siyal radyo klavye nan reprezantasyon tan
Reseptè a sèvi ak prensip korelasyon resepsyon an, kidonk pake transmèt la gen yon preambul ak yon pati adrès. Yo pa itilize kodaj ki reziste bri; kò done a ankripte ak algorithm AES128 la.
An jeneral, koòdone radyo nan klavye san fil Logitech ka karakterize kòm konplètman asynchrone ak multiplexing estatistik ak adaptasyon frekans. Sa vle di ke transmetè klavye a chanje kanal la transmèt chak nouvo pake. Reseptè a pa konnen davans swa tan an transmisyon oswa chanèl frekans lan, men se sèlman lis yo li te ye. Reseptè a ak transmetè rankontre nan kanal la gras a kontourne frekans kowòdone ak algoritm koute, osi byen ke mekanis Enhanced ShockBurst rekonesans. Nou poko envestige si lis chanèl la estatik. Pwobableman, chanjman li yo se akòz algorithm adaptasyon frekans lan. Yon bagay fèmen nan metòd la so frekans (pseudo-o aza akor nan frekans nan opere) ka wè nan itilize nan resous frekans nan seri a.
Se konsa, nan kondisyon tan-frekans ensètitid, asire resepsyon garanti nan tout siyal klavye, yon atakè ap bezwen toujou ap kontwole tout kadriyaj frekans lan nan 84 pozisyon, ki mande pou yon kantite tan enpòtan. Isit la li vin klè poukisa USB kle fè ekstraksyon vilnerabilite (CVE-2019-13054) pozisyone kòm kapasite nan enjekte frap, olye ke jwenn aksè yon atakè nan done antre nan klavye a. Li evidan, koòdone radyo nan klavye a san fil se byen konplèks epi li bay kominikasyon serye radyo ant aparèy Logitech nan kondisyon entèferans difisil nan gwoup la 2,4 GHz.
Yon gade nan pwoblèm nan soti nan anndan an
Pou etid nou an, nou te chwazi youn nan klavye Logitech K330 nou yo ak yon dongle Logitech Unifying.
Logitech K330
Ann pran yon gade andedan klavye a. Yon eleman enteresan sou tablo a pou etidye se chip SoC NRF24 ki soti nan Nordic Semiconductor.
SoC NRF24 sou Logitech K330 san fil klavye tablo
Firmware a sitiye nan memwa entèn, lekti ak mekanis debogaj yo enfim. Malerezman, firmwèr la pa te pibliye nan sous louvri. Se poutèt sa, nou deside apwòch pwoblèm nan soti nan lòt bò a - etidye sa ki entèn yo nan reseptè a dongle Logitech.
"Mond anndan an" nan reseptè dongle a se byen enteresan. Se dongle a fasil demonte, pote abò lage NRF24 abitye a ak yon kontwolè USB bati-an epi li ka repwograme tou de sou bò USB ak dirèkteman nan pwogramè a.
Dongle Logitech san lojman
Depi gen yon mekanis estanda pou mete ajou firmwèr la lè l sèvi avèk (ki soti nan ki ou ka ekstrè vèsyon an firmwèr mete ajou), pa gen okenn bezwen gade pou firmwèr la andedan dongle a.
Ki sa ki te fè: firmwèr RQR_012_005_00028.bin te extrait nan kò aplikasyon Zouti Mizajou Firmware. Pou tcheke entegrite li yo, kontwolè dongle a te konekte ak yon kab :
Kab pou konekte dongle Logitech ak pwogramè ChipProg 48 la
Pou kontwole entegrite firmwèr la, li te avèk siksè mete nan memwa kontwolè a epi li te travay kòrèkteman, klavye a ak sourit yo te konekte nan dongle a atravè Logitech Unifying. Li posib pou telechaje firmwèr modifye lè l sèvi avèk mekanis aktyalizasyon estanda a, paske pa gen okenn mekanis pwoteksyon kriptografik pou firmwèr la. Pou rezon rechèch, nou te itilize yon koneksyon fizik ak pwogramè a, depi debogaj se pi vit fason sa a.
Rechèch mikrolojisyèl ak atak sou opinyon itilizatè
Chip NRF24 la fèt ki baze sou nwayo enfòmatik Intel 8051 nan achitekti tradisyonèl Harvard. Pou nwayo a, transceiver la aji kòm yon aparèy periferik epi li mete nan espas adrès la kòm yon seri rejis. Ou ka jwenn dokimantasyon pou egzanp nan chip ak kòd sous sou entènèt la, kidonk demonte firmwèr la pa difisil. Pandan jeni ranvèse, nou lokalize fonksyon yo pou resevwa done frap soti nan kanal radyo a ak konvèti li nan fòma HID pou transmisyon nan lame a atravè koòdone USB a. Kòd piki a te plase nan adrès memwa gratis, ki enkli zouti pou entèsepte kontwòl, ekonomize ak restore kontèks ekzekisyon orijinal la, ansanm ak kòd fonksyonèl.
Pake a nan peze oswa lage yon kle resevwa pa dongle a soti nan chanèl radyo a dechifre, konvèti nan yon rapò HID estanda ak voye nan koòdone USB a kòm soti nan yon klavye regilye. Nan kad etid la, pati rapò HID ki pi enterese nou an se pati rapò HID ki genyen yon byte drapo modifye ak yon etalaj 6 bytes ak kòd frap (pou referans, enfòmasyon sou HID. ).
Estrikti rapò HID:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;Imedyatman anvan transmèt estrikti HID a bay lame a, kòd la sou fòm piki pran kontwòl, kopye 8 octets nan done HID natif natal nan memwa epi voye li nan kanal la bò radyo nan tèks klè. Nan kòd li sanble sa a:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<Se kanal la bò òganize nan yon frekans nou mete ak sèten karakteristik nan vitès la manipilasyon ak estrikti pake.
Operasyon transceiver la nan chip la baze sou yon graf eta kote pwotokòl Enhanced ShockBurst entegre òganikman. Nou te jwenn ke imedyatman anvan transmèt done HID nan koòdone USB lame a, transceiver la te nan eta a IDLE. Sa fè li posib san danje rkonfigirasyon li pou opere nan yon kanal bò. Kòd enjeksyon an entèsepte kontwòl, prezève konfigirasyon transceiver orijinal la nan plen epi chanje li nan yon nouvo mòd transmisyon sou kanal la bò. Mekanis konfimasyon Enhanced ShockBurst la enfim nan mòd sa a; done HID yo transmèt nan fòm klè sou lè a. Estrikti a nan pake a nan kanal la bò yo montre nan figi ki anba a, dyagram yo siyal yo te jwenn apre demodulasyon ak anvan restorasyon nan senkronizasyon revèy done. Valè adrès la te chwazi pou fasilite idantifikasyon vizyèl pake a.
Siyal pete demodulasyon pete nan Side Channel
Apre pake a transmèt nan kanal la bò, kòd la sou fòm piki retabli eta a nan transceiver la. Koulye a, li se ankò pare yo travay nòmalman nan yon kontèks firmwèr orijinal la.
Nan domèn frekans ak tan-frekans, kanal bò a sanble sa a:
Spectral ak tan-frekans reprezantasyon nan kanal la bò
Pou teste operasyon chip NRF24 la ak firmwèr modifye, nou rasanble yon kanpe ki gen ladann yon dongle Logitech ak firmwèr modifye, yon klavye san fil ak yon reseptè reyini sou baz yon modil Chinwa ak chip NRF24 la.
Logitech san fil klavye radyo siyal entèsepsyon sikwi
Modil ki baze sou NRF24
Sou ban an, ak klavye a opere nòmalman, apre yo fin konekte li ak dongle Logitech la, nou obsève transmisyon done klè sou frap nan kanal radyo bò ak transmisyon nòmal done chiffres nan koòdone radyo prensipal la. Kidonk, nou te kapab bay entèsepsyon dirèk nan opinyon klavye itilizatè a:
Rezilta a nan entèsepte opinyon klavye
Kòd la sou fòm piki entwodui reta ti tay nan operasyon an nan firmwèr dongle a. Sepandan, yo twò piti pou itilizatè a remake.
Kòm ou ka imajine, nenpòt klavye Logitech ki konpatib ak teknoloji Unifying ka itilize pou vektè atak sa a. Depi atak la vize reseptè Unifying ki enkli ak pifò klavye Logitech, li endepandan de modèl klavye espesifik la.
Konklizyon
Rezilta yo nan etid la sijere itilizasyon posib nan senaryo a konsidere pa atakè yo: si yon pirate ranplase viktim nan ak yon reseptè dongle pou yon klavye san fil Logitech, Lè sa a, li pral kapab chèche konnen modpas yo nan kont viktim nan ak tout sa ki vin apre. konsekans. Pa bliye ke li posib tou pou enjekte frap, ki vle di ke li pa difisil pou egzekite kòd abitrè sou òdinatè viktim nan.
E si toudenkou yon atakè ka modifye firmwèr nenpòt dongle Logitech via USB? Lè sa a, soti nan dongles byen espace, ou ka kreye yon rezo nan repete ak ogmante distans la flit. Malgre ke yon atakè "finansyèman rich" yo pral kapab "koute" opinyon klavye ak peze kle menm nan yon bilding vwazen, ekipman modèn resepsyon radyo ak sistèm trè selektif, reseptè radyo sansib ak tan kout frekans akor ak antèn trè direksyon pral pèmèt yo. pou "koute" opinyon klavye epi peze kle menm nan yon bilding vwazen.
Ekipman radyo pwofesyonèl
Depi kanal transmisyon done san fil klavye Logitech a byen pwoteje, vektè atak yo jwenn mande pou aksè fizik nan reseptè a, ki limite anpil atakè a. Sèl opsyon pwoteksyon nan ka sa a ta dwe sèvi ak mekanis pwoteksyon kriptografik pou firmwèr reseptè a, pou egzanp, tcheke siyati firmwèr ki chaje sou bò reseptè a. Men, malerezman, NRF24 pa sipòte sa e li enposib pou aplike pwoteksyon nan achitekti aparèy aktyèl la. Se konsa, pran swen dongles ou yo, paske opsyon ki dekri atak la mande pou aksè fizik nan yo.
Raccoon Security se yon ekip espesyal ekspè nan Sant Rechèch ak Devlopman Vulcan nan domèn sekirite enfòmasyon pratik, kriptografi, konsepsyon sikwi, jeni ranvèse ak kreyasyon lojisyèl ba nivo.
Sous: www.habr.com