동글 관리: 로지텍 키보드 수신기 안전 연구

역사적으로 대부분의 직원은 Logitech의 무선 키보드와 마우스를 사용합니다. Raccoon Security 팀의 전문가인 우리는 비밀번호를 다시 한 번 입력하면서 스스로에게 질문했습니다. 무선 키보드의 보안 메커니즘을 우회하는 것이 얼마나 어려운가요? 이 연구에서는 입력 데이터에 대한 액세스를 허용하는 아키텍처 결함과 소프트웨어 오류가 밝혀졌습니다. 컷 아래에는 우리가 얻은 것이 있습니다.

왜 로지텍인가?

우리 의견으로는 Logitech 입력 장치가 최고 품질과 가장 편리한 장치 중 하나입니다. 우리가 보유한 대부분의 장치는 Logitech 솔루션을 기반으로 합니다. 통합 는 최대 6개의 장치를 연결할 수 있는 범용 동글 수신기입니다. Logitech Unifying 기술과 호환되는 모든 장치에는 Logitech Unifying 기술 로고가 표시되어 있습니다. 사용하기 쉬운 신청 컴퓨터에 대한 무선 키보드의 연결을 관리할 수 있습니다. 키보드를 로지텍 리시버 동글에 연결하는 과정은 물론 기술 자체까지 다룹니다. 여기에.

Logitech Unifying을 지원하는 동글 수신기

키보드는 공격자에게 정보 소스가 될 수 있습니다. Logitech은 가능한 위협을 고려하여 보안을 관리했습니다. 무선 키보드의 무선 채널에 AES128 암호화 알고리즘을 사용했습니다. 이런 상황에서 공격자가 가장 먼저 생각할 수 있는 생각은 바인딩 과정에서 무선 채널을 통해 전송되는 핵심 정보를 가로채는 것이다. 결국, 열쇠가 있으면 키보드의 무선 신호를 가로채서 해독할 수 있습니다. 그러나 사용자가 키보드를 통합해야 하는 경우는 거의(또는 전혀) 없으며, 스캐닝 라디오를 사용하는 해커는 오랜 시간을 기다려야 합니다. 또한 차단 프로세스 자체가 모든 것이 그렇게 간단한 것은 아닙니다. 보안 전문가 Markus Mengs가 2019년 XNUMX월에 실시한 최신 연구에서 온라인으로 발표했습니다. сообщение 로지텍 USB 동글의 오래된 펌웨어에서 발견된 취약점에 대해 알려드립니다. 이를 통해 장치에 물리적으로 접근할 수 있는 공격자가 무선 채널 암호화 키를 획득하고 키 입력을 삽입할 수 있습니다(CVE-2019-13054).

Nordic Semiconductor의 NRF24 SoC를 기반으로 한 로지텍 동글의 보안 연구에 대해 이야기하겠습니다. 아마도 라디오 채널 자체부터 시작해 보겠습니다.

라디오 채널에서 데이터가 "이동"하는 방법

무선 신호의 시간-주파수 분석을 위해 스펙트럼 분석기 모드에서 Blade-RF 장치 기반 SDR 수신기를 사용했습니다. 여기에).

SDR 블레이드-RF 장치

우리는 또한 중간 주파수에서 무선 신호의 직교 위상을 기록할 수 있는 가능성도 고려했으며, 이는 디지털 신호 처리 기술을 사용하여 분석할 수 있습니다.

러시아 연방 무선 주파수에 관한 국가 위원회 허용된 단거리 장치에 사용되는 경우 주파수 범위는 2400~2483,5MHz입니다. 이것은 Wi-Fi, Bluetooth, 모든 종류의 리모콘, 보안 시스템, 무선 감지기, 키보드가 있는 마우스 및 기타 무선 디지털 장치 등 아무것도 찾을 수 없는 매우 "인구가 많은" 범위입니다.

2,4GHz 대역의 스펙트럼

범위의 간섭 환경은 매우 복잡합니다. 그럼에도 불구하고 로지텍은 주파수 적응 알고리즘과 함께 NRF24 트랜시버의 Enhanced ShockBurst 프로토콜을 사용하여 안정적이고 안정적인 수신을 제공할 수 있었습니다.

대역의 채널은 다음에 정의된 대로 정수 MHz 위치에 배치됩니다. 명세서 NRF24 Nordic Semiconductor - 주파수 그리드의 총 84개 채널. 물론 로지텍에서 동시에 사용하는 주파수 채널의 수는 적습니다. 우리는 적어도 1개의 사용을 확인했습니다. 사용된 신호 스펙트럼 분석기의 제한된 대역폭으로 인해 사용된 주파수 위치의 정확한 목록을 확인할 수 없었지만 이것이 반드시 필요한 것은 아닙니다. 키보드에서 수신기 동글로의 정보는 XNUMXMbaud의 기호 속도로 XNUMX위치 주파수 변조 GFSK를 사용하여 버스트 모드(송신기의 짧은 회전)로 전송됩니다.

시간 표현의 키보드 무선 신호

수신기는 수신의 상관 원리를 사용하므로 전송된 패킷에는 프리앰블과 주소 부분이 포함됩니다. 노이즈 방지 코딩을 사용하지 않으며 데이터 본문은 AES128 알고리즘으로 암호화됩니다.

일반적으로 Logitech 무선 키보드의 무선 인터페이스는 통계적 다중화 및 주파수 적응과 완전히 비동기식이라는 특징을 가질 수 있습니다. 이는 키보드 송신기가 각각의 새로운 패킷을 전송하기 위해 채널을 전환한다는 것을 의미합니다. 수신기는 전송 시간이나 주파수 채널을 미리 알지 못하고 해당 목록만 알고 있습니다. 조정된 주파수 우회 및 청취 알고리즘과 향상된 ShockBurst 승인 메커니즘 덕분에 수신기와 송신기가 채널에서 만납니다. 채널 목록이 정적인지 여부는 조사하지 않았습니다. 아마도 그 변화는 주파수 적응 알고리즘 때문일 것입니다. 범위의 주파수 자원을 사용하는 경우 주파수 호핑 방법(작동 주파수의 의사 무작위 튜닝)에 가까운 것을 볼 수 있습니다.

따라서 시간-주파수 불확실한 조건에서 모든 키보드 신호의 수신을 보장하려면 공격자는 84개 위치의 전체 주파수 그리드를 지속적으로 모니터링해야 하며 이는 상당한 시간이 필요합니다. 여기에서 USB 키 추출 취약점(CVE-2019-13054)이 발생하는 이유가 분명해졌습니다. 소스에서 공격자가 키보드에서 입력한 데이터에 액세스하는 대신 키 입력을 주입하는 기능으로 자리매김했습니다. 분명히 무선 키보드의 무선 인터페이스는 매우 복잡하며 2,4GHz 대역의 어려운 간섭 조건에서 Logitech 장치 간의 안정적인 무선 통신을 제공합니다.

문제를 내부에서 살펴보기

연구를 위해 우리는 기존 Logitech K330 키보드 중 하나와 Logitech Unifying 동글을 선택했습니다.

Logitech K330

키보드 내부를 살펴보겠습니다. 연구할 보드의 흥미로운 요소는 Nordic Semiconductor의 SoC NRF24 칩입니다.

Logitech K24 무선 키보드 보드의 SoC NRF330

펌웨어는 내부 메모리에 있으며 읽기 및 디버깅 메커니즘이 비활성화됩니다. 불행히도 펌웨어는 오픈 소스로 게시되지 않았습니다. 따라서 우리는 Logitech 동글 수신기의 내부 내용을 연구하기 위해 다른 측면에서 문제에 접근하기로 결정했습니다.

동글 수신기의 "내부 세계"는 매우 흥미롭습니다. 동글은 쉽게 분해되고 USB 컨트롤러가 내장된 친숙한 NRF24 릴리스를 탑재하고 있으며 USB 측과 프로그래머에서 직접 다시 프로그래밍할 수 있습니다.

하우징이 없는 로지텍 동글

다음을 사용하여 펌웨어를 업데이트하는 표준 메커니즘이 있으므로 펌웨어 업데이트 도구 애플리케이션 (업데이트된 펌웨어 버전을 추출할 수 있음) 동글 내부에서 펌웨어를 찾을 필요가 없습니다.

수행된 작업: 펌웨어 RQR_012_005_00028.bin이 펌웨어 업데이트 도구 응용 프로그램의 본문에서 추출되었습니다. 무결성을 확인하기 위해 동글 컨트롤러를 케이블로 연결했습니다. ChipProg-48 프로그래머에게:

Logitech 동글을 ChipProg 48 프로그래머에 연결하기 위한 케이블

펌웨어의 무결성을 제어하기 위해 컨트롤러의 메모리에 성공적으로 배치되어 올바르게 작동했으며 키보드와 마우스는 Logitech Unifying을 통해 동글에 연결되었습니다. 펌웨어에는 암호화 보호 메커니즘이 없으므로 표준 업데이트 메커니즘을 사용하여 수정된 펌웨어를 업로드할 수 있습니다. 연구 목적으로 우리는 프로그래머에 대한 물리적 연결을 사용했습니다. 이렇게 하면 디버깅이 훨씬 더 빨라지기 때문입니다.

사용자 입력에 대한 펌웨어 연구 및 공격

NRF24 칩은 전통적인 Harvard 아키텍처의 Intel 8051 컴퓨팅 코어를 기반으로 설계되었습니다. 코어의 경우 트랜시버는 주변 장치 역할을 하며 레지스터 세트로 주소 공간에 배치됩니다. 칩에 대한 문서와 소스 코드 예제는 인터넷에서 찾을 수 있으므로 펌웨어를 분해하는 것은 어렵지 않습니다. 리버스 엔지니어링 과정에서 우리는 무선 채널에서 키 입력 데이터를 수신하고 이를 HID 형식으로 변환하여 USB 인터페이스를 통해 호스트로 전송하는 기능을 현지화했습니다. 주입 코드는 제어를 가로채고 원래 실행 컨텍스트를 저장 및 복원하는 도구와 기능 코드를 포함하는 자유 메모리 주소에 배치되었습니다.

동글이 무선 채널로부터 수신한 키를 누르거나 떼는 패킷을 해독하여 표준 HID 보고서로 변환한 후 일반 키보드에서처럼 USB 인터페이스로 전송합니다. 연구의 일환으로 우리가 가장 관심을 갖는 HID 보고서 부분은 수정자 플래그 바이트와 키 입력 코드가 있는 6바이트 배열을 포함하는 HID 보고서 부분입니다(참고: HID에 대한 정보 여기에).

HID 보고서 구조:

// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
    uint8_t Modifiers;
    uint8_t Reserved;
    uint8_t KeyCode[6];
}HidKbdReport_t;

HID 구조를 호스트로 전송하기 직전에 주입된 코드는 제어권을 갖고 메모리에 있는 기본 HID 데이터의 8바이트를 복사하여 일반 텍스트로 무선 측 채널에 보냅니다. 코드에서는 다음과 같습니다.

//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState();                  // save transceiver state
RfInitForTransmition(TransmitRfAddress);        // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE();                 // Toggle radio CE signal to start transmission
RestoreRfState();               // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<

사이드 채널은 조작 속도 및 패킷 구조의 특정 특성을 사용하여 설정한 주파수로 구성됩니다.

칩 내 트랜시버 작동 NRF24 Enhanced ShockBurst 프로토콜이 유기적으로 통합된 상태 그래프를 기반으로 합니다. 우리는 HID 데이터를 호스트 USB 인터페이스로 전송하기 직전에 트랜시버가 IDLE 상태에 있다는 것을 발견했습니다. 이를 통해 사이드 채널에서 작동하도록 안전하게 재구성할 수 있습니다. 주입된 코드는 제어를 가로채고 원래 트랜시버 구성을 완전히 보존하며 사이드 채널에서 새로운 전송 모드로 전환합니다. 이 모드에서는 Enhanced ShockBurst 확인 메커니즘이 비활성화되며, HID 데이터는 무선으로 명확한 형식으로 전송됩니다. 사이드 채널의 패킷 구조는 아래 그림에 나와 있으며, 신호 다이어그램은 복조 후 데이터 클럭 동기화 복원 전에 얻은 것입니다. 주소 값은 패키지를 시각적으로 쉽게 식별할 수 있도록 선택되었습니다.

측면 채널의 복조된 버스트 버스트 신호

패킷이 사이드 채널로 전송된 후 삽입된 코드는 트랜시버의 상태를 복원합니다. 이제 다시 원래 펌웨어의 맥락에서 정상적으로 작동할 준비가 되었습니다.

주파수 및 시간-주파수 영역에서 측면 채널은 다음과 같습니다.

사이드 채널의 스펙트럼 및 시간-주파수 표현

수정된 펌웨어가 포함된 NRF24 칩의 작동을 테스트하기 위해 수정된 펌웨어가 포함된 로지텍 동글, 무선 키보드 및 NRF24 칩이 포함된 중국 모듈을 기반으로 조립된 수신기가 포함된 스탠드를 조립했습니다.

로지텍 무선 키보드 무선 신호 차단 회로

NRF24 기반 모듈

벤치에서는 키보드가 정상적으로 작동하는 상태에서 로지텍 동글에 연결한 후 측면 무선 채널에서 키 입력에 대한 명확한 데이터가 전송되고, 메인 무선 인터페이스에서 암호화된 데이터가 정상적으로 전송되는 것을 관찰했습니다. 따라서 우리는 사용자 키보드 입력을 직접 가로챌 수 있었습니다.

키보드 입력을 가로채는 결과

삽입된 코드로 인해 동글 펌웨어 작동이 약간 지연됩니다. 그러나 사용자가 알아차리기에는 너무 작습니다.

상상할 수 있듯이 Unifying 기술과 호환되는 모든 Logitech 키보드를 이 공격 벡터에 사용할 수 있습니다. 공격은 대부분의 Logitech 키보드에 포함된 Unifying 수신기를 대상으로 하기 때문에 특정 키보드 모델과 무관합니다.

결론

연구 결과는 공격자가 고려한 시나리오를 사용할 수 있음을 시사합니다. 해커가 피해자를 Logitech 무선 키보드용 동글 수신기로 교체하면 이후의 모든 과정을 통해 피해자 계정의 비밀번호를 알아낼 수 있습니다. 결과. 키 입력을 주입하는 것도 가능하다는 점을 잊지 마십시오. 이는 피해자의 컴퓨터에서 임의의 코드를 실행하는 것이 어렵지 않다는 것을 의미합니다.

갑자기 공격자가 USB를 통해 Logitech 동글의 펌웨어를 원격으로 수정할 수 있다면 어떻게 될까요? 그런 다음 밀접하게 배치된 동글을 사용하여 중계기 네트워크를 만들고 누출 거리를 늘릴 수 있습니다. "재정적으로 부유한" 공격자는 키보드 입력을 "듣고" 이웃 건물에서도 키를 누를 수 있지만 고도로 선택적인 시스템을 갖춘 현대 무선 수신 장비, 짧은 주파수 튜닝 시간을 갖춘 민감한 무선 수신기 및 고도로 지향성 안테나를 사용하면 이를 허용할 수 있습니다. 키보드 입력을 "듣고" 이웃 건물에서도 키를 누를 수 있습니다.

전문 무선 장비

로지텍 키보드의 무선 데이터 전송 채널은 상당히 잘 보호되어 있기 때문에 발견된 공격 벡터에는 수신기에 대한 물리적 접근이 필요하므로 공격자가 크게 제한됩니다. 이 경우 유일한 보호 옵션은 수신기 펌웨어에 대한 암호화 보호 메커니즘을 사용하는 것입니다(예: 수신기 측에 로드된 펌웨어의 서명 확인). 그러나 불행하게도 NRF24는 이를 지원하지 않으며 현재 장치 아키텍처 내에서 보호를 구현하는 것은 불가능합니다. 설명된 공격 옵션을 사용하려면 동글에 대한 물리적 접근이 필요하므로 동글을 잘 관리하세요.

Raccoon Security는 실용적인 정보 보안, 암호화, 회로 설계, 리버스 엔지니어링 및 하위 수준 소프트웨어 생성 분야의 Vulcan 연구 개발 센터의 전문가로 구성된 특별 팀입니다.

출처 : habr.com