Historice, plerique operarii claviaturae et mures ex Logitech utuntur. Tesserae nostras iterum intrantes, nos, magistri Securitatis Racconensis quadrigis, nosmetipsos interrogavimus: quam difficile est securitatis machinas claviaturarum praeterire? Studium vitia architecturae revelavit et errores programmatum qui accessum ad input datam permittunt. Infra cut est quod consecuti sumus.
Quare Logitech?
In nostra opinione, Logitech cogitationes initus sunt inter qualitatem summae et commodissimam. Pleraque inventa quae diximus in solutione Logitech nituntur receptaculum universale dongle est quod permittit ad 6 cogitationes coniungere. Omnes cogitationes cum Logitech Unifying technologiae compatentes notantur cum logo technologia Logitech Unifying. Securus utor Te permittit ut nexum claviaturarum cum computatro tuo regere possit. Processus claviaturae connectendi cum accipiente Logitech dongle, sicut et ipsa technologia, tegitur, v.gr. .
Dongle accipientis Logitech Unifying auxilio
tincidunt fons informationum oppugnantium fieri potest. Logitech, inspecta comminatione possibili, securitatis curam suscepit - AES128 encryption algorithmus in claviaturae radiophonicae alveo usus est. Prima cogitatio oppugnans in hac re habere potuit notitias praecipuas intercipiendi cum per canalem radiophonicum per modum ligationis transmittitur. Ceterum, si clavem habes, signa claviatura radiophonica intercipere potes et eas minuere. Sed usor raro (vel etiam numquam) claviaturae coniungendae habet, et cum radio ascensu piraticum diu expectare debebit. Praeterea non omnia tam simplicia intercipiuntur. Novissimo studio in mense Iunio MMXIX, securitatis peritus Markus Mengs online evulgavit de inventione vulnerabilitas in vetere firmware Logitech dongles USB. Invasores permittit accessum physicum ad machinas ut claves encryption radiophonicae obtineat et claves clavium injiciant (CVE-2019-13054).
Loquemur de securitate nostra de studio Logitech dongle innixum in NRF24 SoC a Semiconductor Nordic. Incipiamus fortasse ipso canali radiophonico.
Quomodo data "volat" in canali radiophonicus
Pro temporis frequentia analysi signum radiophonicum, receptorem SDR subnixum ex fabrica Blade-RF in modo analysris spectri (de hoc etiam legere potes. ).
SDR Blade-RF Fabrica
Nos etiam consideravimus facultatem recordandi quadraturas signum radiophonicum in frequentia media, quae tunc enucleari poterat utendi technicae artis signo digitali processui.
Commissio publica de frequentiis Radiorum in Foederatione Russica ad usum brevibus machinis, frequentia ampliatio est 2400-2483,5 MHz. Hoc est ambitus valde "populatus", in quo nihil invenies: Wi-Fi, Bluetooth, omnia genera moderaminum remotarum, systemata securitatis, detectores wireless, mures cum claviaturis et aliis machinationibus wireless digitalibus.
Spectrum 2,4 band GHz
Impedimentum ambitus in ambitu satis complexus est. Quamvis hoc, Logitech acceptionem certam et stabilem praebere potuit per usum protocolli in NRF24 ShockBurst amplificatum in compositione cum algorithms frequenti accommodatione.
Canales in cohorte ponuntur in integris MHz positionibus definitis NRF24 Semiconductor Nordic - summa 84 canales in euismod frequentia. Numerus eodem tempore usus canalium frequentiae a Logitech est, utique minor. Usum saltem quattuor notavimus. Ob limitatam bandam analysoris spectri signo adhibito, numerus locorum frequentiae accuratus adhibitus definiri non potuit, sed hoc non fuit necessarium. Informationes e tincidunt ad accipientem dongle transmittuntur in modum Burst (brevis volvitur in transmitter) utens duo positione frequentiae modulationis GFSK ad symbolum rate of 1 Mbaud:
Cantiones radiophonicae in tempore representation
Receptator reciproci principio utitur receptionis, sic fasciculus traditus exordium continet et partem inscriptionis. Sonitus repugnant coding non adhibetur, corpus data cum algorithmo AES128 encryptum est.
In genere, radiophonico instrumenti claviaturae Logitech notari potest ut omnino asynchronum cum multiplicatione et frequenti accommodatione statistica. Hoc significat claviculas transfusor permutat alveum ut unumquemque novum fasciculum transmittat. Receptaculum ante tempus vel frequentiam vel canalem transmissionis non praecognoscit, sed tantum eorum index cognoscitur. Receptor et transfusor in canali conveniant, gratias frequentiae ordinatae praeterire et algorithmos audire, necnon agnitionem machinarum amplificatam ShockBurst. Non quaesivimus num album canalis static sit. Probabiliter mutationis accommodationis algorithmi frequentiae debetur. Aliquid prope modum frequentiae circumsiliens (pseudo-passim tunning frequentiae operantis) videri potest in usu copiarum frequentiae teli.
Ita, sub condicione temporis frequentiae incertae, ut in tuto collocet omnium electronicarum significationum receptio, oppugnator necesse erit ut assidue moneat omnem frequentiam 84 positionum, quae notabile temporis spatium requirit. Hic patet cur USB clavis vulnerabilitas extrahendi (CVE-2019-13054) posita ut facultas keystros injiciendi, potius quam oppugnatoris accessum ad notitias e claviculis ingressae. Patet, radiophonico instrumenti claviaturae claviaturae satis implicata est ac certas radiophonicae communicationis inter Logitech cogitationes in difficilibus interventus condicionibus in 2,4 cohorte GHz praebet.
A inviso quaestio ab intus
Pro nostro studio unam exsistentibus Logitech K330 Claviaturae nostrae delegimus et Logitech dongle Unificans.
Microsoft K330
Vide intra tincidunt. Elementum interesting in tabula studiorum est chip SoC NRF24 ex Semiconductor Nordic.
SoC NRF24 in Logitech K330 keyboard tabulam
Firmware in memoria interna sita sunt, legendi et debugging machinationes debilitatae sunt. Donec firmware non est in apertis fontibus divulgata. Ideo problema ex altera parte accedere decrevimus - studere de contentis internis Logitech dongle recipientis.
"Mundus interior" accipientis dongle satis interesting. Dongle facile disgregatus est, in tabula familiari NRF24 remissionem cum aedificato-in USB moderatoris portat et tam ex parte USB quam ex programmario reprogrammi potest.
Logitech dongle sine habitationi
Quia signum est mechanism ad firmware utens adaequationis (ex quo versionem firmware renovatam extrahere potes), firmware intus dongle quaerere non oportet.
Quod factum est: firmware RQR_012_005_00028.bin extractum est e corpore applicationem Instrumenti Update Firmware. Ad integritatem eius reprimendam, dongle moderator fune conexus erat :
Cable connectens Logitech dongle ad ChipProg 48 programmator
Ad integritatem firmware regendam, feliciter in memoria moderatoris positum est et recte operatum, tincidunt et mus cum dongle per Logitech Unifying erant coniuncta. Implicari potest firmware modificatam utens normae renovationis mechanismi, quia nullae sunt machinae cryptographicae ad firmware. Ad investigationes proposita, nexum physicum programmatorem usi sumus, quia debugging multo velocius hoc modo est.
Firmware investigationes et impetus in user initus
Chirographum NRF24 ordinatur secundum nucleum Intel 8051 computantium in architectura Harvardiana traditionalis. Pro nucleo, transceptor in periphericis fabrica agit, et in spatio inscriptionis ponitur sicut tabularum copia. Documenta pro chip et fonte codicis exempla in interreti inveniri possunt, sic firmware disgregatio non difficilis est. Per machinationem adversam, munera locaverunt ad notitias keystrok accipiendas ex canali radiophonico et in forma HID convertendo ad exercitum per USB interfaciem transmissionis. Iniectio in libera inscriptionum memoria posita est, quae instrumenta intercipiendi continebant, salvis ac restitutis contextu originalis exsecutionis, necnon codicem functionis.
Fasciculus premendi vel solvendi clavem a dongle e canali radiophonico acceptam decrypta, in vexillum HID relationem convertitur et ad USB interface mittitur sicut a claviaturae regulari. Cum pars studii, pars HID relationis quae nobis maxime interest, est pars HID relationis continens byte modificationis vexilla et ordinata 6 bytes cum codicibus keystroke (ad referendum, informationem de HID. ).
HID structuram referunt:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;Statim antequam HID structuram exercitui transmittat, codice injectus potestatem accipit, codices 8 bytes indigenarum HID notitiarum in memoria tenentes eamque ad alveum radiophonicum in textu claro emittit. In codice hoc sic spectat:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<Canalis lateralis ordinatur ad frequentiam quam constituimus cum quibusdam notis manipulationis velocitatis et structurae fasciculi.
Operatio transceiver in chip fundatur in statu graphi in quem protocollum ShockBurst amplificatum organice integratur. Invenimus statim antequam HID notitias ad exercitum USB interfaciendum transmitterent, transceiver in statu otioso esse. Hoc efficit ut tuto reconfiguretur ad operandum in alveo laterali. Codex injectus imperium intercipit, figuram transceptivam originalem in plena conservat ac permutat ad novum modum transmissionis in alveum latus. Mechanismus amplificatus ShockBurst hoc modo confirmatio debilitata est: data HID in clara forma per aerem transmittitur. Structura fasciculi in alvei lateris figura infra ostenditur, signa diagrammata consecuta sunt post demodulationem et ante restitutionem notitiae synchronizationis horologii. Valor oratio electa est ad otium identitatis visualis in sarcina.
Demodulated Gaudete signum in Parte Channel
Postquam fasciculus ad alveum latus transmittitur, infusum codicem transceiver statum restaurat. Nunc iterum paratus est ad operandum normaliter in contextu firmware originalis.
In frequentia ac frequentia temporis ditionibus, canalis lateralis hoc modo spectat;
Repraesentatio spectralis et temporis frequentia lateris canalis
Ad probandam operationem NRF24 chip cum firmware mutata, signum contulimus, quod Logitech dongle firmware modificatum inclusum, claviaturae et receptaculum claviaturae convenerunt in fundamento moduli Sinici cum NRF24 chip.
Logitech claviaturae radiophonicae signo interceptionis in circuitu
NRF24 secundum moduli
In scamno, cum normaliter claviaturae operanti, cum Logitech dongle coniungendo, transmissionem clarae notitiae circa keystros in latere canali radiophonicis, et normalem transmissionem notitiarum encryptarum in radio interface principali animadvertimus. Ita potuimus directam interceptionem claviaturae usoris initus praebere:
Effectus intercipiendi tincidunt initus
Codex injectus quasdam moras in operatione firmware donglei introducit. Sed nimis parva sunt ad notanda utentis.
Ut existimare potes, claviaturae Logitech quaevis compatitur cum technologia Unifying technologia ad hunc impetum vector adhiberi potest. Cum oppugnatio scutorum receptaculum Unificativum cum claviaturis Logitech plurimis inclusum est, independens est exemplar claviaturae specificae.
conclusio,
Eventus studii possibilem usum missionis consideratae ab oppugnatoribus suggerunt: si piratica victimam cum receptore dongle pro claviaturae Logitech reponit, tesseras rationum victimarum cum omnibus deinceps invenire poterit. consequatur. Noli oblivisci posse etiam keystros injicere, quod significat non difficile esse arbitrarium codicem in computatrum victimae exsequi.
Quid si repente percussor remotissime firmam alicujus Logitech dongle per USB mitigare possit? Deinde, e dongles proxime distantibus, retis repeaters facere potes et distantiam lacus augere. Quamvis "opulentus pecuniarius" oppugnator poterit "auscultare" claviaturae initus et claves premunt etiam ex aedificio vicini, hodierni instrumenti radiophonici receptivi cum systematibus selectivis valde, receptatoribus radiophonicis sensitivis cum brevibus frequentia temporum incedit et antennas directionales valde permittet. "audire" claviaturae initus et claves premunt etiam ex aedificio vicino.
Lorem apparatu radiophonicus
Cum wireless notitiae transmissionis alveum claviaturae Logitech satis bene munitum sit, impetus vector inventus corporis accessum ad accipientem requirit, quod oppugnatorem valde limitat. Sola optionis tutelae in hoc casu usui esset machinationes cryptographicae pro firmware recipienti, exempli gratia, obfirmatione subscriptionis firmware onustae in parte recipientis. Sed, proh dolor, NRF24 hoc non sustinet et impossibile est intra architecturae machinae hodiernae praesidium deduci. Cura igitur dongles tuas, quod optio oppugnationis descriptae ad illas accessus corporis requirit.
Raccoon Securitas est specialis manipulus peritorum ab Investigatione Vulcani et Progressu Centrum in campo securitatis informationis practicae, cryptographiae, ambitus designationis, reversa machinalis et ignobilis creaturae programmatis.
Source: www.habr.com