ドングルを大切にしましょう: Logitech キーボード レシーバーの安全性調査

これまで、ほとんどの従業員はロジクールのワイヤレス キーボードとマウスを使用していました。 Raccoon セキュリティ チームのスペシャリストである私たちは、もう一度パスワードを入力して、次の質問を自問しました。ワイヤレス キーボードのセキュリティ メカニズムをバイパスするのはどれほど難しいでしょうか? この調査により、入力データへのアクセスを可能にするアーキテクチャ上の欠陥とソ​​フトウェア エラーが明らかになりました。 カットの下が私たちが得たものです。

なぜロジクールなのか?

私たちの意見では、ロジクールの入力デバイスは最高品質であり、最も便利です。 当社が所有するデバイスのほとんどは Logitech ソリューションに基づいています 統一 は、最大 6 台のデバイスを接続できるユニバーサル ドングル レシーバーです。 Logitech Unifying テクノロジーと互換性のあるすべてのデバイスには、Logicool Unifying テクノロジーのロゴが付いています。 使いやすい アプリケーション コンピュータへのワイヤレス キーボードの接続を管理できます。 キーボードを Logitech レシーバー ドングルに接続するプロセスとテクノロジー自体については、たとえば次のように説明します。 ここで.

Logitech Unifying サポートを備えたドングル レシーバー

キーボードは攻撃者の情報源になる可能性があります。 ロジクールは、潜在的な脅威を考慮して、セキュリティに配慮し、ワイヤレス キーボードの無線チャネルで AES128 暗号化アルゴリズムを使用しました。 この状況で攻撃者が最初に考えるのは、バインディング手順中に無線チャネルを介して送信される鍵情報を傍受することです。 結局のところ、キーを持っていれば、キーボードの無線信号を傍受して復号化することができます。 ただし、ユーザーがキーボードを統一する必要があることはほとんど (またはまったく) なく、スキャン無線を使用するハッカーは長い間待たなければなりません。 さらに、傍受プロセス自体もすべてがそれほど単純であるわけではありません。 2019 年 XNUMX 月の最新の調査では、セキュリティ専門家のマルクス・メンス氏がオンラインで発表しました。 メッセージ Logitech USB ドングルの古いファームウェアの脆弱性の発見について。 これにより、攻撃者がデバイスに物理的にアクセスして無線チャネル暗号化キーを取得し、キーストロークを挿入することが可能になります (CVE-2019-13054)。

Nordic Semiconductor の NRF24 SoC をベースにした Logitech ドングルのセキュリティ研究について説明します。 おそらくラジオチャンネル自体から始めましょう。

無線チャネル内でデータがどのように「飛ぶ」か

無線信号の時間周波数分析には、スペクトラム アナライザー モードの Blade-RF デバイスに基づく SDR レシーバーを使用しました (これについてはこちらも参照してください) ここで).

SDR ブレード RF デバイス

また、中間周波数で無線信号の直角位相を記録し、デジタル信号処理技術を使用して分析できる可能性も検討しました。

ロシア連邦無線周波数国家委員会 許可された 短距離デバイスで使用する場合、周波数範囲は 2400 ～ 2483,5 MHz です。 ここは非常に「人口の多い」範囲であり、Wi-Fi、Bluetooth、あらゆる種類のリモコン、セキュリティ システム、無線探知機、キーボード付きマウス、その他の無線デジタル デバイスなど、何も見つかりません。

2,4GHz帯のスペクトル

この範囲内の干渉環境は非常に複雑です。 それにもかかわらず、ロジクールは、NRF24 トランシーバーの Enhanced ShockBurst プロトコルを周波数適応アルゴリズムと組み合わせて使用​​することで、信頼性の高い安定した受信を提供することができました。

帯域内のチャネルは、次のように定義された整数 MHz の位置に配置されます。 仕様書 NRF24 Nordic Semiconductor - 周波数グリッド内の合計 84 チャネル。 もちろん、ロジクールが同時に使用する周波数チャネルの数は少なくなります。 少なくとも 1 つの使用が確認されました。 使用した信号スペクトラム アナライザの帯域幅が限られているため、使用した周波数位置の正確なリストを決定できませんでしたが、これは必要ありませんでした。 キーボードから受信機ドングルへの情報は、XNUMX 位置周波数変調 GFSK を使用して XNUMX Mbaud のシンボル レートでバースト モード (送信機を短くオンにする) で送信されます。

キーボード無線信号の時間表現

受信機は受信の相関原理を使用するため、送信されるパケットにはプリアンブルとアドレス部分が含まれます。 耐ノイズ符号化は使用せず、データ本体はAES128アルゴリズムで暗号化されます。

一般に、Logicool ワイヤレス キーボードの無線インターフェイスは、統計的多重化と周波数適応により完全に非同期であると特徴付けることができます。 これは、キーボード送信機がチャネルを切り替えて新しいパケットを送信することを意味します。 受信機は送信時間も周波数チャネルも事前には知りませんが、それらのリストだけがわかります。 受信機と送信機は、調整された周波数バイパスおよびリスニング アルゴリズム、および強化された ShockBurst 確認応答メカニズムのおかげで、チャネル内で接続されます。 チャンネルリストが静的かどうかは調査していません。 おそらく、その変化は周波数適応アルゴリズムによるものと考えられます。 この範囲の周波数リソースの使用には、周波数ホッピング方式 (動作周波数の擬似ランダム調整) に近いものが見られます。

したがって、時間と周波数が不確実な状況では、すべてのキーボード信号の受信を保証するために、攻撃者は 84 ポジションの周波数グリッド全体を常に監視する必要があり、これにはかなりの時間がかかります。 ここで、USB キー抽出の脆弱性 (CVE-2019-13054) の理由が明らかになります。 ソース内 キーボードから入力されたデータに攻撃者がアクセスするのではなく、キーストロークを挿入する機能として位置付けられています。 明らかに、ワイヤレス キーボードの無線インターフェイスは非常に複雑で、2,4 GHz 帯域の困難な干渉条件下でも Logitech デバイス間で信頼性の高い無線通信を提供します。

問題を内部から見てみる

この研究では、既存の Logitech K330 キーボードの XNUMX つと Logitech Unifying ドングルを選択しました。

Logitech K330

キーボードの内部を見てみましょう。 研究すべきボード上の興味深い要素は、Nordic Semiconductor の SoC NRF24 チップです。

Logitech K24 ワイヤレス キーボード ボード上の SoC NRF330

ファームウェアは内部メモリに配置されており、読み取りおよびデバッグのメカニズムは無効になっています。 残念ながら、ファームウェアはオープンソースで公開されていません。 したがって、私たちはこの問題に反対側からアプローチすること、つまり Logitech ドングル レシーバーの内部内容を調査することにしました。

ドングルレシーバーの「内部世界」は非常に興味深いです。 ドングルは簡単に分解でき、USB コントローラを内蔵した使い慣れた NRF24 リリースを搭載しており、USB 側とプログラマから直接再プログラムすることができます。

Logitech ドングル (ハウジングなし)

を使用してファームウェアを更新するための標準メカニズムがあるため、 ファームウェアアップデートツールアプリケーション (そこから更新されたファームウェアのバージョンを抽出できます)、ドングル内のファームウェアを探す必要はありません。

実行内容: ファームウェア RQR_012_005_00028.bin がファームウェア アップデート ツール アプリケーションの本体から抽出されました。 完全性を確認するために、ドングル コントローラーをケーブルで接続しました ChipProg-48 プログラマへ:

Logitech ドングルを ChipProg 48 プログラマーに接続するためのケーブル

ファームウェアの整合性を制御するために、ファームウェアはコントローラーのメモリに正常に配置され、正しく動作し、キーボードとマウスは Logitech Unifying 経由でドングルに接続されました。 ファームウェアには暗号化保護メカニズムがないため、標準の更新メカニズムを使用して変更されたファームウェアをアップロードすることができます。 研究目的では、デバッグがはるかに高速であるため、プログラマへの物理接続を使用しました。

ファームウェアの調査とユーザー入力に対する攻撃

NRF24 チップは、伝統的なハーバード アーキテクチャの Intel 8051 コンピューティング コアに基づいて設計されています。 コアにとって、トランシーバーは周​​辺デバイスとして機能し、レジスタのセットとしてアドレス空間に配置されます。 チップのドキュメントとソース コードのサンプルはインターネットで入手できるため、ファームウェアの逆アセンブルは難しくありません。 リバース エンジニアリング中に、キーストローク データを無線チャネルから受信し、それを USB インターフェイス経由でホストに送信するために HID 形式に変換する機能をローカライズしました。 インジェクション コードは空きメモリ アドレスに配置され、これには制御を傍受し、元の実行コンテキストと機能コードを保存および復元するためのツールが含まれていました。

ドングルが無線チャネルから受信したキーを押したり離したりするパケットは、復号化され、標準の HID レポートに変換され、通常のキーボードからの場合と同様に USB インターフェイスに送信されます。 調査の一環として、私たちにとって最も興味深い HID レポートの部分は、修飾子フラグの 6 バイトとキーストローク コードを含む XNUMX バイトの配列を含む HID レポートの部分です (参考として、HID に関する情報を参照してください)。 ここで).

HID レポートの構造:

// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
    uint8_t Modifiers;
    uint8_t Reserved;
    uint8_t KeyCode[6];
}HidKbdReport_t;

HID 構造をホストに送信する直前に、挿入されたコードが制御を引き継ぎ、メモリ内の 8 バイトのネイティブ HID データをコピーし、それをクリア テキストで無線サイド チャネルに送信します。 コードでは次のようになります。

//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState();                  // save transceiver state
RfInitForTransmition(TransmitRfAddress);        // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE();                 // Toggle radio CE signal to start transmission
RestoreRfState();               // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<

サイドチャネルは、操作速度とパケット構造の特定の特性を使用して設定した周波数で編成されます。

チップ内のトランシーバーの動作 NRF24 Enhanced ShockBurst プロトコルが有機的に統合された状態グラフに基づいています。 HID データをホスト USB インターフェイスに送信する直前に、トランシーバーが IDLE 状態になっていることがわかりました。 これにより、サイドチャネルで動作するように安全に再構成することが可能になります。 挿入されたコードは制御を傍受し、元のトランシーバー構成を完全に保存し、サイド チャネルの新しい送信モードに切り替えます。 このモードでは、Enhanced ShockBurst 確認メカニズムが無効になり、HID データはクリアな形式で無線送信されます。 サイド チャネルのパケットの構造を次の図に示します。信号図は復調後、データ クロック同期の回復前に取得されたものです。 アドレス値は、パッケージを視覚的に識別しやすくするために選択されました。

サイドチャネルの復調バーストバースト信号

パケットがサイド チャネルに送信された後、注入されたコードによってトランシーバーの状態が復元されます。 これで、元のファームウェアのコンテキストで正常に動作する準備が再び整いました。

周波数領域および時間-周波数領域では、サイド チャネルは次のようになります。

サイドチャネルのスペクトルおよび時間周波数表現

ファームウェアが変更された NRF24 チップの動作をテストするために、ファームウェアが変更された Logitech ドングル、ワイヤレス キーボード、NRF24 チップを搭載した中国製モジュールに基づいて組み立てられたレシーバーを含むスタンドを組み立てました。

ロジクール ワイヤレス キーボード無線信号傍受回路

NRF24ベースのモジュール

ベンチでは、ロジクール ドングルに接続した後、キーボードが正常に動作している状態で、サイド無線チャネルでのキーストロークに関するクリアなデータの送信と、メイン無線インターフェイスでの暗号化されたデータの通常の送信を観察しました。 したがって、ユーザーのキーボード入力を直接インターセプトすることができました。

キーボード入力をインターセプトした結果

挿入されたコードにより、ドングル ファームウェアの動作にわずかな遅延が生じます。 ただし、小さすぎるためユーザーは気づきません。

ご想像のとおり、Unifying テクノロジーと互換性のある Logitech キーボードは、この攻撃ベクトルに使用できます。 この攻撃は、ほとんどの Logitech キーボードに含まれる Unifying レシーバーをターゲットとしているため、特定のキーボード モデルには依存しません。

まとめ

研究結果は、検討されたシナリオが攻撃者によって使用される可能性を示唆しています。ハッカーが被害者をロジクールのワイヤレス キーボードのドングル レシーバーに置き換えた場合、その後のすべての情報を使用して被害者のアカウントのパスワードを見つけることができます。結果。 キーストロークを挿入することも可能であることを忘れないでください。つまり、被害者のコンピュータ上で任意のコードを実行することは難しくありません。

突然、攻撃者が USB 経由で Logitech ドングルのファームウェアをリモートで変更できるようになったらどうなるでしょうか? 次に、密に配置されたドングルからリピーターのネットワークを作成し、漏洩距離を増やすことができます。 「経済的に裕福な」攻撃者は、隣の建物からでもキーボード入力を「盗聴」してキーを押すことができますが、高度に選択的なシステムを備えた最新の無線受信装置、周波数同調時間が短い高感度の無線受信機、および高指向性アンテナを備えているため、攻撃が可能になります。キーボード入力を「聞いて」、隣の建物からでもキーを押すことができます。

業務用無線機器

Logitech キーボードのワイヤレス データ送信チャネルは十分に保護されているため、発見された攻撃ベクトルには受信機への物理的なアクセスが必要であり、攻撃者が大幅に制限されます。 この場合の唯一の保護オプションは、受信側ファームウェアに暗号化保護メカニズムを使用することです。たとえば、受信側でロードされたファームウェアの署名を確認します。 しかし、残念ながら、NRF24 はこれをサポートしておらず、現在のデバイス アーキテクチャ内で保護を実装することは不可能です。 記載されている攻撃オプションではドングルへの物理的なアクセスが必要となるため、ドングルの管理には注意してください。

Raccoon Security は、実用的な情報セキュリティ、暗号化、回路設計、リバース エンジニアリング、低レベル ソフトウェア作成の分野における Vulcan 研究開発センターの専門家からなる特別チームです。

出所： habr.com