동글 관리: 로지텍 키보드 수신기 안전 연구

전통적으로 대부분의 직원은 Logitech의 무선 키보드와 마우스를 사용해 왔습니다. 다시 한번 비밀번호를 입력하면서, 우리(Raccoon Security 팀의 전문가)는 스스로에게 물었습니다. 무선 키보드의 보안 메커니즘을 우회하는 것이 얼마나 어려울까요? 실시된 조사 결과, 입력 데이터에 접근할 수 있는 구조적 결함과 소프트웨어 오류가 발견되었습니다. 우리가 얻은 결과는 다음과 같습니다.

왜 로지텍인가?

저희는 Logitech 입력 장치가 최고의 품질과 가장 편리한 기능을 갖추고 있다고 생각합니다. 우리가 보유한 대부분의 기기는 Logitech 솔루션을 기반으로 합니다. 통합 – 최대 6개의 기기를 연결할 수 있는 범용 동글 수신기입니다. Logitech Unifying 기술과 호환되는 모든 장치에는 Logitech Unifying 로고가 표시되어 있습니다. 사용하기 쉽습니다 신청 컴퓨터에 무선 키보드의 연결을 관리할 수 있습니다. 키보드를 Logitech 동글 수신기에 연결하는 과정과 기술 자체에 대해 예를 들어 자세히 설명합니다. 여기에.

로지텍 유니파잉 동글 리시버

키보드는 침입자에게 정보의 원천이 될 수 있습니다. Logitech은 발생할 수 있는 위협을 고려하여 보안을 강화했습니다. 무선 키보드의 무선 채널에 AES128 암호화 알고리즘을 사용했습니다. 이런 상황에서 공격자가 떠올릴 수 있는 첫 번째 생각은 바인딩 절차 동안 무선 채널을 통해 전송되는 주요 정보를 가로채는 것입니다. 결국, 열쇠가 있다면 키보드의 무선 신호를 가로채서 해독할 수 있습니다. 그러나 사용자가 키보드를 Unifying 절차에 연결할 필요는 거의 없고(심지어 전혀 없을 수도 있음) 스캐닝 라디오 수신기를 가진 해커라도 오랜 시간을 기다려야 합니다. 게다가 가로채기 과정 자체도 그렇게 간단한 것은 아닙니다. 보안 전문가 Markus Mengs는 2019년 XNUMX월 최신 연구를 온라인에 게시했습니다. сообщение Logitech USB 동글의 오래된 펌웨어에서 취약점이 발견되었다는 소식입니다. 장치에 물리적으로 접근하여 공격자가 무선 채널 암호화 키를 얻고 키 입력을 삽입할 수 있습니다(CVE-2019-13054).

Nordic Semiconductor의 NRF24 SoC를 기반으로 한 Logitech 동글의 보안에 대한 연구에 대해 말씀드리겠습니다. 라디오 채널 자체부터 시작해 볼까요.

라디오 채널에서 데이터가 "비행"하는 방식

무선 신호의 주파수-시간 분석을 위해 스펙트럼 분석기 모드에서 Blade-RF 장치를 기반으로 하는 SDR 수신기를 사용했습니다(여기에서도 이에 대해 읽을 수 있습니다). 여기에).

SDR 블레이드-RF 장치

또한 우리는 중간 주파수에서 무선 신호의 구적법을 기록하여 디지털 신호 처리 기술을 사용하여 분석할 가능성도 고려했습니다.

러시아 연방 무선 주파수에 관한 국가 위원회 허용된 2400~2483,5MHz 주파수 범위의 단거리 장치에서 사용됩니다. 이곳은 매우 "인구가 많은" 제품군으로, Wi-Fi, 블루투스, 모든 종류의 리모컨, 보안 시스템, 무선 감지기, 키보드가 달린 마우스 및 기타 무선 디지털 장치 등 모든 것을 찾을 수 있습니다.

2,4GHz 대역의 스펙트럼

해당 범위 내의 간섭 환경은 매우 복잡합니다. 이러한 점에도 불구하고, Logitech은 주파수 적응 알고리즘과 함께 NRF24 트랜시버의 Enhanced ShockBurst 프로토콜을 사용하여 안정적이고 신뢰할 수 있는 수신을 제공할 수 있었습니다.

범위 내 채널은 다음에 정의된 정수 MHz 위치에 배치됩니다. 명세서 NRF24 Nordic Semiconductor – 주파수 그리드에 채널이 84개뿐입니다. 물론, Logitech이 동시에 사용하는 주파수 채널 수는 적습니다. 우리는 적어도 네 가지의 용도를 확인했습니다. 사용된 신호 스펙트럼 분석기의 대역폭이 제한되어 있어 사용된 주파수 위치의 정확한 목록을 결정할 수 없었지만, 반드시 그럴 필요는 없었습니다. 키보드에서 수신기 동글로의 정보는 1Mbaud의 심볼 속도에서 XNUMX위치 주파수 변조 GFSK를 사용하여 버스트 모드(송신기의 짧은 버스트)로 전송됩니다.

시간 표현의 키보드 라디오 신호

수신기는 수신의 상관 원리를 사용하므로 전송된 패킷에는 프리앰블과 주소 부분이 포함됩니다. 노이즈 방지 코딩은 사용되지 않으며, 데이터 본문은 AES128 알고리즘으로 암호화됩니다.

일반적으로 Logitech 무선 키보드의 무선 인터페이스는 통계적 멀티플렉싱과 주파수 적응 기능을 갖춘 완전 비동기식이라고 할 수 있습니다. 이는 키보드 송신기가 채널을 전환하여 새로운 패킷을 전송한다는 것을 의미합니다. 수신기는 전송 시간이나 주파수 채널을 미리 알지 못하고, 단지 목록만 알고 있습니다. 수신기와 송신기는 조정된 주파수 우회 및 수신 알고리즘과 향상된 ShockBurst 확인 메커니즘 덕분에 채널에서 만납니다. 채널 목록이 정적인지 여부는 조사하지 않았습니다. 이러한 변화는 주파수 적응 알고리즘 때문일 가능성이 높습니다. 대역의 주파수 자원 사용에서 주파수 호핑 방식(의사 난수 주파수 호핑)에 가까운 것을 알 수 있다.

따라서 주파수-시간 불확실성의 조건에서 모든 키보드 신호의 수신을 보장하기 위해 공격자는 84자리 범위의 전체 주파수 그리드를 지속적으로 모니터링해야 하며, 이를 위해 상당한 시간이 소요됩니다. 여기서 USB 키 추출 취약점(CVE-2019-13054)의 원인이 명확해집니다. 출처에서 공격자가 키보드에서 입력한 데이터에 액세스할 수 있도록 하는 것이 아니라 키 입력을 주입할 수 있는 기회로 자리 잡았습니다. 무선 키보드의 무선 인터페이스는 매우 복잡하고 2,4GHz 범위의 간섭 조건이 어려운 경우에도 Logitech 장치 간에 안정적인 무선 통신을 제공한다는 것은 분명합니다.

내부에서 문제를 살펴보다

우리는 연구를 위해 기존의 Logitech K330 키보드 중 하나와 Logitech Unifying 동글을 선택했습니다.

Logitech K330

키보드 내부를 살펴보겠습니다. 보드에서 연구할 만한 흥미로운 요소는 Nordic Semiconductor의 SoC NRF24 칩입니다.

Logitech K24 무선 키보드 보드의 NRF330 SoC

펌웨어는 내부 메모리에 위치하며, 읽기 및 디버깅 메커니즘은 비활성화되어 있습니다. 안타깝게도 펌웨어는 오픈 소스로 공개되지 않았습니다. 그래서 우리는 다른 각도에서 문제에 접근하기로 했습니다. 즉, Logitech 동글 수신기의 내부를 조사하는 것입니다.

동글 수신기의 '내부 세계'는 매우 흥미롭게 구성되어 있습니다. 동글은 분해하기 쉽고, 내장 USB 컨트롤러가 있는 익숙한 NRF24를 탑재하고 USB 측과 프로그래머를 통해 직접 재프로그래밍할 수 있습니다.

하우징 없는 로지텍 동글

펌웨어를 업데이트하기 위한 표준 메커니즘이 있기 때문에 펌웨어 업데이트 도구 응용 프로그램 (여기서 업데이트된 버전의 펌웨어를 추출할 수 있음) 동글 내부에서 펌웨어를 찾을 필요가 없습니다.

수행된 작업: 펌웨어 업데이트 도구 애플리케이션의 본문에서 펌웨어 RQR_012_005_00028.bin을 추출했습니다. 무결성을 확인하기 위해 동글 컨트롤러를 케이블로 연결했습니다. ChipProg-48 프로그래머에게:

Logitech 동글을 ChipProg 48 프로그래머에 연결하기 위한 케이블

펌웨어의 무결성을 확인하기 위해, 컨트롤러의 메모리에 성공적으로 저장하고 올바르게 작동했으며, 키보드와 마우스는 Logitech Unifying을 통해 동글에 연결되었습니다. 암호화된 펌웨어 보호 메커니즘이 제공되지 않으므로 표준 업데이트 메커니즘을 사용하여 수정된 펌웨어를 업로드하는 것이 가능합니다. 연구 목적으로 우리는 프로그래머와 물리적으로 연결하여 디버깅을 훨씬 빠르게 진행할 수 있었습니다.

펌웨어 연구 및 사용자 입력 공격

NRF24 칩은 기존 하버드 아키텍처의 Intel 8051 컴퓨팅 코어를 기반으로 설계되었습니다. 코어의 경우, 트랜시버는 주변 장치 역할을 하며 주소 공간에 레지스터 세트로 위치합니다. 칩 설명서와 소스 코드 예제는 온라인에서 찾을 수 있으므로 펌웨어를 분해하는 것은 어렵지 않습니다. 리버스 엔지니어링 과정에서 우리는 무선 채널에서 키 입력 데이터를 수신하고 이를 USB 인터페이스를 통해 호스트로 전송할 수 있도록 HID 형식으로 변환하는 기능을 현지화했습니다. 여유 메모리 주소는 주입 코드로 채워졌는데, 여기에는 제어를 가로채고, 원래 실행 컨텍스트를 저장하고 복원하는 도구는 물론 기능적 코드도 포함되었습니다.

동글이 무선 채널에서 수신한 키 입력 패킷이나 키 해제 패킷은 해독되어 표준 HID 보고서로 변환되고 일반 키보드에서처럼 USB 인터페이스로 전송됩니다. 우리의 연구 맥락에서 HID 보고서 중 우리에게 가장 큰 관심을 끄는 부분은 수정자 플래그 바이트와 키 입력 코드가 포함된 6바이트 배열을 포함하는 부분입니다(참고로 HID 정보 참조). 여기에).

HID 보고서 구조:

// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
    uint8_t Modifiers;
    uint8_t Reserved;
    uint8_t KeyCode[6];
}HidKbdReport_t;

호스트에 HID 구조를 전송하기 직전에 삽입된 코드는 제어권을 받고, 8바이트의 기본 HID 데이터를 메모리에 복사한 후 일반 텍스트로 측면 무선 채널에 전송합니다. 코드로는 다음과 같습니다.

//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState();                  // save transceiver state
RfInitForTransmition(TransmitRfAddress);        // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE();                 // Toggle radio CE signal to start transmission
RestoreRfState();               // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<

사이드 채널은 특정 조작 속도와 패킷 구조의 특성을 바탕으로 우리가 설정한 주파수로 구성됩니다.

칩 내 트랜시버의 동작 NRF24 Enhanced ShockBurst 프로토콜이 유기적으로 통합된 상태 그래프를 기반으로 합니다. 호스트 USB 인터페이스로 HID 데이터를 전송하기 직전에 트랜시버가 IDLE 상태에 있음을 발견했습니다. 이를 통해 사이드 채널에서 작동하도록 안전하게 재구성하는 것이 가능해졌습니다. 주입된 코드는 제어권을 넘겨받아 원래의 트랜시버 구성을 그대로 보존하고 사이드 채널의 새로운 전송 모드로 전환합니다. 이 모드에서는 향상된 ShockBurst 확인 메커니즘이 비활성화되고, HID 데이터는 무선으로 일반 텍스트로 전송됩니다. 아래 그림은 측면 채널의 패킷 구조를 보여줍니다. 신호 다이어그램은 복조 후, 데이터 클록 동기화를 복구하기 전에 얻어졌습니다. 주소 값은 패킷을 시각적으로 쉽게 식별할 수 있도록 선택됩니다.

사이드 채널의 복조된 버스트 패킷 신호

패킷이 사이드 채널로 전송된 후, 주입된 코드는 트랜시버 상태를 복원합니다. 이제 원래 펌웨어의 컨텍스트에서 다시 일반 모드로 작업할 준비가 되었습니다.

주파수 및 시간-주파수 영역에서 측면 채널은 그림에 표시된 것과 같습니다.

사이드 채널의 스펙트럼 및 시간-주파수 표현

수정된 펌웨어가 적용된 NRF24 칩의 작동을 테스트하기 위해 수정된 펌웨어가 적용된 Logitech 동글, 무선 키보드, NRF24 칩이 적용된 중국 모듈을 기반으로 조립된 수신기를 포함하는 스탠드를 조립했습니다.

로지텍 무선 키보드 무선 신호 차단 방식

NRF24 기반 모듈

스탠드에서 Logitech 동글에 키보드를 연결한 후 정상적으로 작동하는 동안, 측면 무선 채널에서 키 입력에 대한 공개 데이터가 전송되고, 주 무선 인터페이스에서 암호화된 데이터가 정상적으로 전송되는 것을 관찰했습니다. 이렇게 하여 우리는 사용자 키보드 입력을 직접 가로채는 데 성공했습니다.

키보드 입력 차단 결과

삽입된 코드는 동글 펌웨어 작동에 약간의 지연을 초래합니다. 하지만 사용자가 알아차리기에는 너무 작습니다.

상상할 수 있듯이 Unifying 기술과 호환되는 모든 Logitech 키보드는 이러한 공격 벡터에 사용될 수 있습니다. 이 공격은 대부분의 Logitech 키보드에 포함된 Unifying 수신기를 표적으로 삼으므로 특정 키보드 모델에만 국한되지 않습니다.

결론

연구 결과에 따르면 공격자는 앞서 언급한 시나리오를 활용할 가능성이 있습니다. 해커가 피해자의 동글 수신기를 무선 Logitech 키보드로 교체하면 피해자 계정의 비밀번호를 알아내어 그에 따른 결과를 초래할 수 있습니다. 키 입력을 주입하는 것도 가능하다는 점을 기억하는 것이 좋습니다. 즉, 피해자의 컴퓨터에서 임의의 코드를 실행하는 것이 어렵지 않다는 뜻입니다.

공격자가 USB를 통해 모든 Logitech 동글의 펌웨어를 원격으로 수정할 수 있다면 어떻게 될까요? 그런 다음, 서로 가까이 위치한 동글을 통해 리피터 네트워크를 구축하고 누설 거리를 늘릴 수 있습니다. "재정적으로 안전한" 공격자는 최신 무선 수신 장비, 매우 선택적인 시스템, 짧은 주파수 튜닝 시간을 갖춘 민감한 무선 수신기 및 좁은 빔 안테나를 사용하여 인접 건물에서도 키보드 입력을 "듣고" 키를 누를 수 있습니다.

라디오 수신을 위한 전문 장비

Logitech 키보드의 무선 데이터 채널은 상당히 잘 보호되어 있으므로, 공격 벡터를 발견하려면 수신기에 물리적으로 접근해야 하며, 이는 공격자를 크게 제한합니다. 이 경우 보호를 위한 유일한 옵션은 수신기의 펌웨어에 대한 암호화 보호 메커니즘을 사용하는 것인데, 예를 들어 수신기 측에 로드된 펌웨어의 서명을 확인하는 것입니다. 하지만 불행히도 NRF24는 이를 지원하지 않으며, 현재 장치의 아키텍처 내에서 보호 기능을 구현하는 것은 불가능합니다. 따라서 설명된 공격 옵션을 사용하려면 동글에 물리적으로 접근해야 하므로 동글을 잘 관리해야 합니다.

Raccoon Security는 실용 정보 보안, 암호화, 회로 설계, 리버스 엔지니어링 및 저수준 소프트웨어 개발 분야의 Vulcan Scientific and Technical Center 출신 전문가로 구성된 특별팀입니다.

출처 : habr.com