Storikament, ħafna mill-impjegati jużaw tastieri u ġrieden mingħajr fili minn Logitech. Meta ddaħħlu l-passwords tagħna għal darb'oħra, aħna, l-ispeċjalisti tat-tim tas-Sigurtà Raccoon, staqsejna lilna nfusna: kemm hu diffiċli li tevita l-mekkaniżmi tas-sigurtà tat-tastieri mingħajr fili? L-istudju żvela difetti arkitettoniċi u żbalji tas-softwer li jippermettu aċċess għad-dejta tal-input. Taħt il-qatgħa hemm dak li ksibna.
Għaliex Logitech?
Fl-opinjoni tagħna, l-apparati ta 'input Logitech huma fost l-ogħla kwalità u l-aktar konvenjenti. Ħafna mill-apparati li għandna huma bbażati fuq is-soluzzjoni Logitech huwa riċevitur dongle universali li jippermettilek tqabbad sa 6 apparati. L-apparati kollha kompatibbli mat-teknoloġija Logitech Unifying huma mmarkati bil-logo tat-teknoloġija Logitech Unifying. Faċli biex tużah Jippermettilek timmaniġġja l-konnessjoni tat-tastieri mingħajr fili mal-kompjuter tiegħek. Il-proċess tal-konnessjoni tat-tastiera mal-dongle tar-riċevitur Logitech, kif ukoll it-teknoloġija nnifisha, huwa kopert, pereżempju, .
Riċevitur Dongle b'appoġġ Logitech Unifying
It-tastiera tista' ssir sors ta' informazzjoni għall-attakkanti. Logitech, b'kont meħud tat-theddida possibbli, ħa ħsieb is-sigurtà - uża l-algoritmu ta 'encryption AES128 fil-kanal tar-radju tat-tastiera mingħajr fili. L-ewwel ħsieb li attakkant jista' jkollu f'din is-sitwazzjoni huwa li jinterċetta informazzjoni ewlenija meta tiġi trażmessa fuq kanal tar-radju matul il-proċedura ta' rbit. Wara kollox, jekk għandek ċavetta, tista' tinterċetta s-sinjali tar-radju tat-tastiera u tiddeċifrahom. Madankollu, l-utent rarament (jew saħansitra qatt) ikollu jgħaqqad it-tastiera, u hacker b'radju tal-iskannjar ikollu jistenna żmien twil. Barra minn hekk, mhux kollox huwa daqshekk sempliċi bil-proċess ta 'interċettazzjoni innifsu. Fl-aħħar studju f'Ġunju 2019, l-espert tas-sigurtà Markus Mengs ippubblikat online dwar l-iskoperta ta 'vulnerabbiltà fil-firmware antik ta' dongles USB Logitech. Jippermetti lill-attakkanti b'aċċess fiżiku għall-apparati jiksbu ċwievet ta' encryption tal-kanali tar-radju u jinjettaw keystrokes (CVE-2019-13054).
Se nitkellmu dwar l-istudju tas-sigurtà tagħna tad-dongle Logitech ibbażat fuq is-SoC NRF24 minn Nordic Semiconductor. Nibdew, forsi, bl-istazzjon tar-radju innifsu.
Kif id-data "titir" f'kanal tar-radju
Għall-analiżi tal-frekwenza tal-ħin tas-sinjal tar-radju, użajna riċevitur SDR ibbażat fuq l-apparat Blade-RF fil-modalità tal-analizzatur tal-ispettru (tista 'taqra wkoll dwar dan ).
Apparat SDR Blade-RF
Aħna ikkunsidrajna wkoll il-possibbiltà li nirrekordjaw kwadraturi tas-sinjal tar-radju fi frekwenza intermedja, li mbagħad tista 'tiġi analizzata bl-użu ta' tekniki ta 'proċessar ta' sinjal diġitali.
Kummissjoni Statali dwar il-Frekwenzi tar-Radju fil-Federazzjoni Russa għall-użu minn apparati ta' medda qasira, il-firxa tal-frekwenza hija 2400–2483,5 MHz. Din hija firxa "ippopolata" ħafna, li fiha ma ssib xejn: Wi-Fi, Bluetooth, kull tip ta 'kontrolli mill-bogħod, sistemi ta' sigurtà, detectors mingħajr fili, ġrieden b'tastieri u apparat diġitali mingħajr fili ieħor.
Spettru tal-medda 2,4 GHz
L-ambjent ta 'interferenza fil-medda huwa pjuttost kumpless. Minkejja dan, Logitech kienet kapaċi tipprovdi riċeviment affidabbli u stabbli permezz tal-użu tal-protokoll Enhanced ShockBurst fit-transceiver NRF24 flimkien ma 'algoritmi ta' adattament tal-frekwenza.
Il-kanali f'medda huma mqiegħda f'pożizzjonijiet ta' MHz interi kif definit fi NRF24 Nordic Semiconductor - total ta '84 kanal fil-grilja tal-frekwenza. In-numru ta 'kanali ta' frekwenza użati fl-istess ħin minn Logitech huwa, ovvjament, inqas. Aħna identifikajna l-użu ta 'mill-inqas erbgħa. Minħabba l-bandwidth limitat tal-analizzatur tal-ispettru tas-sinjal użat, il-lista eżatta tal-pożizzjonijiet tal-frekwenza użati ma setgħetx tiġi determinata, iżda dan ma kienx meħtieġ. L-informazzjoni mit-tastiera lejn il-dongle tar-riċevitur tiġi trażmessa fil-modalità Burst (dawriet qosra fuq it-trasmettitur) bl-użu ta’ modulazzjoni ta’ frekwenza b’żewġ pożizzjonijiet GFSK b’rata ta’ simbolu ta’ 1 Mbaud:
Sinjal tar-radju tat-tastiera fir-rappreżentazzjoni tal-ħin
Ir-riċevitur juża l-prinċipju ta 'korrelazzjoni ta' riċeviment, għalhekk il-pakkett trażmess fih preambolu u parti ta 'indirizz. Kodifikazzjoni reżistenti għall-istorbju ma tintużax; il-korp tad-dejta huwa kkodifikat bl-algoritmu AES128.
B'mod ġenerali, l-interface tar-radju tat-tastiera mingħajr fili Logitech tista 'tiġi kkaratterizzata bħala kompletament asinkronika b'multiplexing statistiku u adattament tal-frekwenza. Dan ifisser li t-trasmettitur tat-tastiera jaqleb il-kanal biex jittrasmetti kull pakkett ġdid. Ir-riċevitur ma jafx minn qabel la l-ħin tat-trasmissjoni u lanqas il-kanal tal-frekwenza, iżda l-lista tagħhom biss hija magħrufa. Ir-riċevitur u t-trasmettitur jiltaqgħu fil-kanal grazzi għal algoritmi kordinati ta 'bypass u smigħ tal-frekwenza, kif ukoll mekkaniżmi ta' rikonoxximent ta 'ShockBurst Mtejba. Aħna ma investigajnax jekk il-lista tal-kanali hijiex statika. Probabbilment, il-bidla tagħha hija dovuta għall-algoritmu ta 'adattament tal-frekwenza. Xi ħaġa qrib il-metodu tal-qbiż tal-frekwenza (irfinar psewdo-random tal-frekwenza operattiva) tista 'tidher fl-użu tar-riżors tal-frekwenza tal-medda.
Għalhekk, f'kundizzjonijiet ta 'inċertezza tal-frekwenza tal-ħin, sabiex tiggarantixxi r-riċeviment tas-sinjali kollha tat-tastiera, attakkant ikollu bżonn jimmonitorja kontinwament il-grilja tal-frekwenza kollha ta' 84 pożizzjoni, li teħtieġ ammont sinifikanti ta 'ħin. Hawnhekk jidher ċar għaliex il-vulnerabbiltà tal-estrazzjoni taċ-ċavetta USB (CVE-2019-13054) pożizzjonat bħala l-abbiltà li jinjetta keystrokes, aktar milli jiksbu aċċess ta 'attakkant għal data mdaħħla mit-tastiera. Ovvjament, l-interface tar-radju tat-tastiera mingħajr fili hija pjuttost kumplessa u tipprovdi komunikazzjoni tar-radju affidabbli bejn l-apparati Logitech f'kundizzjonijiet ta 'interferenza diffiċli fil-medda ta' 2,4 GHz.
Ħarsa lejn il-problema minn ġewwa
Għall-istudju tagħna, għażilna waħda mit-tastieri Logitech K330 eżistenti tagħna u dongle Logitech Unifying.
Logitech K330
Ejja nagħtu ħarsa ġewwa t-tastiera. Element interessanti fuq il-bord għall-istudju huwa ċ-ċippa SoC NRF24 minn Nordic Semiconductor.
SoC NRF24 fuq il-bord tat-tastiera mingħajr fili Logitech K330
Il-firmware jinsab fil-memorja interna, il-mekkaniżmi ta 'qari u debugging huma diżattivati. Sfortunatament, il-firmware ma ġiex ippubblikat f'sorsi miftuħa. Għalhekk, iddeċidejna li navviċinaw il-problema min-naħa l-oħra - biex nistudjaw il-kontenut intern tar-riċevitur dongle Logitech.
Id-"dinja ta 'ġewwa" tar-riċevitur dongle hija pjuttost interessanti. Il-dongle huwa faċilment żarmat, iġorr abbord ir-rilaxx familjari NRF24 b'kontrollur USB integrat u jista 'jiġi pprogrammat mill-ġdid kemm min-naħa tal-USB kif ukoll direttament mill-programmatur.
Dongle Logitech mingħajr akkomodazzjoni
Peress li hemm mekkaniżmu standard għall-aġġornament tal-firmware bl-użu (li minnha tista 'tiġbed il-verżjoni tal-firmware aġġornata), m'hemmx bżonn li tfittex il-firmware ġewwa l-dongle.
Dak li sar: il-firmware RQR_012_005_00028.bin ġie estratt mill-korp tal-applikazzjoni tal-Għodda tal-Aġġornament tal-Firmware. Biex tiċċekkja l-integrità tiegħu, il-kontrollur dongle kien imqabbad b'kejbil :
Kejbil għall-konnessjoni tad-dongle Logitech mal-programmatur ChipProg 48
Biex tikkontrolla l-integrità tal-firmware, tqiegħed b'suċċess fil-memorja tal-kontrollur u ħadem b'mod korrett, it-tastiera u l-maws kienu konnessi mal-dongle permezz ta 'Logitech Unifying. Huwa possibbli li ttella 'firmware modifikat bl-użu tal-mekkaniżmu ta' aġġornament standard, peress li m'hemm l-ebda mekkaniżmi ta 'protezzjoni kriptografika għall-firmware. Għal skopijiet ta 'riċerka, użajna konnessjoni fiżika mal-programmatur, peress li d-debugging huwa ħafna aktar mgħaġġel b'dan il-mod.
Firmware riċerka u attakk fuq input tal-utent
Iċ-ċippa NRF24 hija mfassla bbażata fuq il-qalba tal-kompjuters Intel 8051 fl-arkitettura tradizzjonali ta 'Harvard. Għall-qalba, it-transceiver jaġixxi bħala apparat periferali u jitqiegħed fl-ispazju tal-indirizz bħala sett ta 'reġistri. Id-dokumentazzjoni għaċ-ċippa u l-eżempji tal-kodiċi tas-sors tista 'tinstab fuq l-Internet, għalhekk iż-żarmar tal-firmware mhuwiex diffiċli. Waqt l-inġinerija inversa, lokalizzajna l-funzjonijiet biex nirċievu data ta 'keystroke mill-kanal tar-radju u jaqilbuha f'format HID għat-trażmissjoni lill-ospitant permezz tal-interface USB. Il-kodiċi ta 'l-injezzjoni tqiegħed f'indirizzi ta' memorja ħielsa, li kienu jinkludu għodod għall-interċettazzjoni tal-kontroll, l-iffrankar u r-restawr tal-kuntest ta 'eżekuzzjoni oriġinali, kif ukoll kodiċi funzjonali.
Il-pakkett tal-ippressar jew ir-rilaxx ta 'ċavetta riċevuta mill-dongle mill-kanal tar-radju huwa decrypted, konvertit f'rapport standard HID u mibgħut lill-interface USB bħala minn tastiera regolari. Bħala parti mill-istudju, il-parti tar-rapport HID li hija ta’ interess l-aktar għalina hija l-parti tar-rapport HID li fiha byte ta’ bnadar modifikaturi u firxa ta’ 6 bytes b’kodiċi ta’ keystroke (għal referenza, informazzjoni dwar HID ).
Struttura tar-rapport HID:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;Immedjatament qabel ma jittrasmetti l-istruttura HID lill-host, il-kodiċi injettat jieħu l-kontroll, jikkopja 8 bytes ta 'dejta HID nattiva fil-memorja u jibgħatha lill-kanal tal-ġenb tar-radju b'test ċar. Fil-kodiċi jidher bħal dan:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<Il-kanal tal-ġenb huwa organizzat fi frekwenza li waqqafna b'ċerti karatteristiċi tal-veloċità tal-manipulazzjoni u l-istruttura tal-pakkett.
It-tħaddim tat-transceiver fiċ-ċippa hija bbażata fuq graff tal-istat li fih il-protokoll ShockBurst Mtejjeb huwa integrat organikament. Sibna li immedjatament qabel it-trażmissjoni tad-dejta HID lill-interface USB ospitanti, it-transceiver kien fl-istat IDLE. Dan jagħmilha possibbli li tiġi kkonfigurata mill-ġdid b'mod sikur biex topera f'kanal tal-ġenb. Il-kodiċi injettat jinterċetta l-kontroll, jippreserva l-konfigurazzjoni oriġinali tat-transceiver b'mod sħiħ u jaqlebha għal mod ta 'trażmissjoni ġdida fuq il-kanal tal-ġenb. Il-mekkaniżmu ta' konferma ta' ShockBurst Imtejjeb huwa diżattivat f'dan il-mod; id-dejta HID tiġi trażmessa f'forma ċara fl-arja. L-istruttura tal-pakkett fil-kanal tal-ġenb hija murija fil-figura hawn taħt, id-dijagrammi tas-sinjali nkisbu wara d-demodulazzjoni u qabel ir-restawr tas-sinkronizzazzjoni tal-arloġġ tad-data. Il-valur tal-indirizz intgħażel għall-faċilità tal-identifikazzjoni viżwali tal-pakkett.
Sinjal tat-tifqigħ demodulat fil-Kanal tal-Ġnub
Wara li l-pakkett jiġi trażmess lill-kanal tal-ġenb, il-kodiċi injettat jerġa 'jġib l-istat tat-transceiver. Issa huwa għal darb'oħra lest biex jaħdem b'mod normali fil-kuntest tal-firmware oriġinali.
Fl-oqsma tal-frekwenza u tal-frekwenza tal-ħin, il-kanal tal-ġenb jidher bħal dan:
Rappreżentazzjoni spettrali u tal-frekwenza tal-ħin tal-kanal tal-ġenb
Biex tittestja t-tħaddim taċ-ċippa NRF24 b'firmware modifikat, immuntajna stand li kien jinkludi dongle Logitech b'firmware modifikat, tastiera mingħajr fili u riċevitur immuntat fuq il-bażi ta 'modulu Ċiniż biċ-ċippa NRF24.
Ċirkwit ta 'interċettazzjoni tas-sinjal tar-radju tat-tastiera mingħajr fili Logitech
Modulu bbażat fuq NRF24
Fuq il-bank, bit-tastiera taħdem b'mod normali, wara li kkonnettjaha mal-dongle Logitech, osservajna t-trażmissjoni ta 'dejta ċara dwar il-keystrokes fil-kanal tar-radju tal-ġenb u t-trażmissjoni normali ta' dejta kriptata fl-interface tar-radju prinċipali. Għalhekk, stajna nipprovdu interċettazzjoni diretta tal-input tat-tastiera tal-utent:
Ir-riżultat tal-interċettazzjoni tal-input tat-tastiera
Il-kodiċi injettat jintroduċi dewmien żgħir fit-tħaddim tal-firmware dongle. Madankollu, huma żgħar wisq biex l-utent jinduna.
Kif tista 'timmaġina, kwalunkwe tastiera Logitech li hija kompatibbli mat-teknoloġija Unifying tista' tintuża għal dan il-vettur tal-attakk. Peress li l-attakk jimmira lir-riċevitur Unifying inkluż mal-biċċa l-kbira tat-tastieri Logitech, huwa indipendenti mill-mudell speċifiku tat-tastiera.
Konklużjoni
Ir-riżultati tal-istudju jissuġġerixxu l-użu possibbli tax-xenarju kkunsidrat mill-attakkanti: jekk hacker jissostitwixxi l-vittma b'riċevitur dongle għal tastiera mingħajr fili Logitech, allura jkun jista 'jsib il-passwords għall-kontijiet tal-vittma bil-konsegwenza kollha. konsegwenzi. Tinsiex li huwa wkoll possibbli li tinjetta keystrokes, li jfisser li mhuwiex diffiċli li tesegwixxi kodiċi arbitrarju fuq il-kompjuter tal-vittma.
X'jiġri jekk f'daqqa waħda attakkant jista 'jbiddel mill-bogħod il-firmware ta' kwalunkwe dongle Logitech permezz tal-USB? Imbagħad, minn dongles spazjati mill-qrib, tista 'toħloq netwerk ta' ripetituri u żżid id-distanza tat-tnixxija. Għalkemm attakkant “finanzjarjament sinjur” se jkun jista’ “jisma’” l-input tat-tastiera u jagħfas it-tasti anke minn bini fil-qrib, tagħmir modern ta’ riċeviment tar-radju b’sistemi selettivi ħafna, riċevituri tar-radju sensittivi b’ħinijiet qosra ta’ sintonizzazzjoni ta’ frekwenza u antenni b’direzzjoni kbira jippermettulhom. biex "tisma" l-input tat-tastiera u tagħfas it-tasti anke minn bini fil-qrib.
Tagħmir tar-radju professjonali
Peress li l-kanal tat-trażmissjoni tad-dejta mingħajr fili tat-tastiera Logitech huwa protett pjuttost tajjeb, il-vettur tal-attakk misjub jeħtieġ aċċess fiżiku għar-riċevitur, li jillimita ħafna lill-attakkant. L-unika għażla ta 'protezzjoni f'dan il-każ tkun li tuża mekkaniżmi ta' protezzjoni kriptografiċi għall-firmware tar-riċevitur, pereżempju, tivverifika l-firma tal-firmware mgħobbi fuq in-naħa tar-riċevitur. Iżda, sfortunatament, NRF24 ma jappoġġjax dan u huwa impossibbli li tiġi implimentata protezzjoni fl-arkitettura tal-apparat attwali. Allura ħu ħsieb id-dongles tiegħek, minħabba li l-għażla ta 'attakk deskritta teħtieġ aċċess fiżiku għalihom.
Raccoon Security huwa tim speċjali ta 'esperti miċ-Ċentru ta' Riċerka u Żvilupp Vulcan fil-qasam tas-sigurtà ta 'informazzjoni prattika, kriptografija, disinn ta' ċirkwiti, inġinerija inversa u ħolqien ta 'softwer ta' livell baxx.
Sors: www.habr.com