Historice, plerique operarii claviaturae et mures ex Logitech utuntur. Tesserae nostras iterum intrantes, nos, magistri Securitatis Racconensis quadrigis, nosmetipsos interrogavimus: quam difficile est securitatis machinas claviaturarum praeterire? Studium vitia architecturae revelavit et errores programmatum qui accessum ad input datam permittunt. Infra cut est quod consecuti sumus.
Quare Logitech?
In nostra opinione, Logitech cogitationes initus sunt inter qualitatem summae et commodissimam. Pleraque inventa quae diximus in solutione Logitech nituntur
Dongle accipientis Logitech Unifying auxilio
tincidunt fons informationum oppugnantium fieri potest. Logitech, inspecta comminatione possibili, securitatis curam suscepit - AES128 encryption algorithmus in claviaturae radiophonicae alveo usus est. Prima cogitatio oppugnans in hac re habere potuit notitias praecipuas intercipiendi cum per canalem radiophonicum per modum ligationis transmittitur. Ceterum, si clavem habes, signa claviatura radiophonica intercipere potes et eas minuere. Sed usor raro (vel etiam numquam) claviaturae coniungendae habet, et cum radio ascensu piraticum diu expectare debebit. Praeterea non omnia tam simplicia intercipiuntur. Novissimo studio in mense Iunio MMXIX, securitatis peritus Markus Mengs online evulgavit
Loquemur de securitate nostra de studio Logitech dongle innixum in NRF24 SoC a Semiconductor Nordic. Incipiamus fortasse ipso canali radiophonico.
Quomodo data "volat" in canali radiophonicus
Pro temporis frequentia analysi signum radiophonicum, receptorem SDR subnixum ex fabrica Blade-RF in modo analysris spectri (de hoc etiam legere potes.
SDR Blade-RF Fabrica
Nos etiam consideravimus facultatem recordandi quadraturas signum radiophonicum in frequentia media, quae tunc enucleari poterat utendi technicae artis signo digitali processui.
Commissio publica de frequentiis Radiorum in Foederatione Russica
Spectrum 2,4 band GHz
Impedimentum ambitus in ambitu satis complexus est. Quamvis hoc, Logitech acceptionem certam et stabilem praebere potuit per usum protocolli in NRF24 ShockBurst amplificatum in compositione cum algorithms frequenti accommodatione.
Canales in cohorte ponuntur in integris MHz positionibus definitis
Cantiones radiophonicae in tempore representation
Receptator reciproci principio utitur receptionis, sic fasciculus traditus exordium continet et partem inscriptionis. Sonitus repugnant coding non adhibetur, corpus data cum algorithmo AES128 encryptum est.
In genere, radiophonico instrumenti claviaturae Logitech notari potest ut omnino asynchronum cum multiplicatione et frequenti accommodatione statistica. Hoc significat claviculas transfusor permutat alveum ut unumquemque novum fasciculum transmittat. Receptaculum ante tempus vel frequentiam vel canalem transmissionis non praecognoscit, sed tantum eorum index cognoscitur. Receptor et transfusor in canali conveniant, gratias frequentiae ordinatae praeterire et algorithmos audire, necnon agnitionem machinarum amplificatam ShockBurst. Non quaesivimus num album canalis static sit. Probabiliter mutationis accommodationis algorithmi frequentiae debetur. Aliquid prope modum frequentiae circumsiliens (pseudo-passim tunning frequentiae operantis) videri potest in usu copiarum frequentiae teli.
Ita, sub condicione temporis frequentiae incertae, ut in tuto collocet omnium electronicarum significationum receptio, oppugnator necesse erit ut assidue moneat omnem frequentiam 84 positionum, quae notabile temporis spatium requirit. Hic patet cur USB clavis vulnerabilitas extrahendi (CVE-2019-13054)
A inviso quaestio ab intus
Pro nostro studio unam exsistentibus Logitech K330 Claviaturae nostrae delegimus et Logitech dongle Unificans.
Microsoft K330
Vide intra tincidunt. Elementum interesting in tabula studiorum est chip SoC NRF24 ex Semiconductor Nordic.
SoC NRF24 in Logitech K330 keyboard tabulam
Firmware in memoria interna sita sunt, legendi et debugging machinationes debilitatae sunt. Donec firmware non est in apertis fontibus divulgata. Ideo problema ex altera parte accedere decrevimus - studere de contentis internis Logitech dongle recipientis.
"Mundus interior" accipientis dongle satis interesting. Dongle facile disgregatus est, in tabula familiari NRF24 remissionem cum aedificato-in USB moderatoris portat et tam ex parte USB quam ex programmario reprogrammi potest.
Logitech dongle sine habitationi
Quia signum est mechanism ad firmware utens adaequationis
Quod factum est: firmware RQR_012_005_00028.bin extractum est e corpore applicationem Instrumenti Update Firmware. Ad integritatem eius reprimendam, dongle moderator fune conexus erat
Cable connectens Logitech dongle ad ChipProg 48 programmator
Ad integritatem firmware regendam, feliciter in memoria moderatoris positum est et recte operatum, tincidunt et mus cum dongle per Logitech Unifying erant coniuncta. Implicari potest firmware modificatam utens normae renovationis mechanismi, quia nullae sunt machinae cryptographicae ad firmware. Ad investigationes proposita, nexum physicum programmatorem usi sumus, quia debugging multo velocius hoc modo est.
Firmware investigationes et impetus in user initus
Chirographum NRF24 ordinatur secundum nucleum Intel 8051 computantium in architectura Harvardiana traditionalis. Pro nucleo, transceptor in periphericis fabrica agit, et in spatio inscriptionis ponitur sicut tabularum copia. Documenta pro chip et fonte codicis exempla in interreti inveniri possunt, sic firmware disgregatio non difficilis est. Per machinationem adversam, munera locaverunt ad notitias keystrok accipiendas ex canali radiophonico et in forma HID convertendo ad exercitum per USB interfaciem transmissionis. Iniectio in libera inscriptionum memoria posita est, quae instrumenta intercipiendi continebant, salvis ac restitutis contextu originalis exsecutionis, necnon codicem functionis.
Fasciculus premendi vel solvendi clavem a dongle e canali radiophonico acceptam decrypta, in vexillum HID relationem convertitur et ad USB interface mittitur sicut a claviaturae regulari. Cum pars studii, pars HID relationis quae nobis maxime interest, est pars HID relationis continens byte modificationis vexilla et ordinata 6 bytes cum codicibus keystroke (ad referendum, informationem de HID.
HID structuram referunt:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;
Statim antequam HID structuram exercitui transmittat, codice injectus potestatem accipit, codices 8 bytes indigenarum HID notitiarum in memoria tenentes eamque ad alveum radiophonicum in textu claro emittit. In codice hoc sic spectat:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<
Canalis lateralis ordinatur ad frequentiam quam constituimus cum quibusdam notis manipulationis velocitatis et structurae fasciculi.
Operatio transceiver in chip
Demodulated Gaudete signum in Parte Channel
Postquam fasciculus ad alveum latus transmittitur, infusum codicem transceiver statum restaurat. Nunc iterum paratus est ad operandum normaliter in contextu firmware originalis.
In frequentia ac frequentia temporis ditionibus, canalis lateralis hoc modo spectat;
Repraesentatio spectralis et temporis frequentia lateris canalis
Ad probandam operationem NRF24 chip cum firmware mutata, signum contulimus, quod Logitech dongle firmware modificatum inclusum, claviaturae et receptaculum claviaturae convenerunt in fundamento moduli Sinici cum NRF24 chip.
Logitech claviaturae radiophonicae signo interceptionis in circuitu
NRF24 secundum moduli
In scamno, cum normaliter claviaturae operanti, cum Logitech dongle coniungendo, transmissionem clarae notitiae circa keystros in latere canali radiophonicis, et normalem transmissionem notitiarum encryptarum in radio interface principali animadvertimus. Ita potuimus directam interceptionem claviaturae usoris initus praebere:
Effectus intercipiendi tincidunt initus
Codex injectus quasdam moras in operatione firmware donglei introducit. Sed nimis parva sunt ad notanda utentis.
Ut existimare potes, claviaturae Logitech quaevis compatitur cum technologia Unifying technologia ad hunc impetum vector adhiberi potest. Cum oppugnatio scutorum receptaculum Unificativum cum claviaturis Logitech plurimis inclusum est, independens est exemplar claviaturae specificae.
conclusio,
Eventus studii possibilem usum missionis consideratae ab oppugnatoribus suggerunt: si piratica victimam cum receptore dongle pro claviaturae Logitech reponit, tesseras rationum victimarum cum omnibus deinceps invenire poterit. consequatur. Noli oblivisci posse etiam keystros injicere, quod significat non difficile esse arbitrarium codicem in computatrum victimae exsequi.
Quid si repente percussor remotissime firmam alicujus Logitech dongle per USB mitigare possit? Deinde, e dongles proxime distantibus, retis repeaters facere potes et distantiam lacus augere. Quamvis "opulentus pecuniarius" oppugnator poterit "auscultare" claviaturae initus et claves premunt etiam ex aedificio vicini, hodierni instrumenti radiophonici receptivi cum systematibus selectivis valde, receptatoribus radiophonicis sensitivis cum brevibus frequentia temporum incedit et antennas directionales valde permittet. "audire" claviaturae initus et claves premunt etiam ex aedificio vicino.
Lorem apparatu radiophonicus
Cum wireless notitiae transmissionis alveum claviaturae Logitech satis bene munitum sit, impetus vector inventus corporis accessum ad accipientem requirit, quod oppugnatorem valde limitat. Sola optionis tutelae in hoc casu usui esset machinationes cryptographicae pro firmware recipienti, exempli gratia, obfirmatione subscriptionis firmware onustae in parte recipientis. Sed, proh dolor, NRF24 hoc non sustinet et impossibile est intra architecturae machinae hodiernae praesidium deduci. Cura igitur dongles tuas, quod optio oppugnationis descriptae ad illas accessus corporis requirit.
Raccoon Securitas est specialis manipulus peritorum ab Investigatione Vulcani et Progressu Centrum in campo securitatis informationis practicae, cryptographiae, ambitus designationis, reversa machinalis et ignobilis creaturae programmatis.
Source: www.habr.com