வரலாற்று ரீதியாக, பெரும்பாலான ஊழியர்கள் லாஜிடெக்கிலிருந்து வயர்லெஸ் கீபோர்டுகள் மற்றும் எலிகளைப் பயன்படுத்துகின்றனர். எங்கள் கடவுச்சொற்களை மீண்டும் உள்ளிடும்போது, ரக்கூன் பாதுகாப்புக் குழுவின் நிபுணர்களான நாங்கள் நம்மை நாமே கேட்டுக்கொண்டோம்: வயர்லெஸ் விசைப்பலகைகளின் பாதுகாப்பு வழிமுறைகளைத் தவிர்ப்பது எவ்வளவு கடினம்? உள்ளீட்டு தரவை அணுக அனுமதிக்கும் கட்டடக்கலை குறைபாடுகள் மற்றும் மென்பொருள் பிழைகள் ஆய்வில் தெரியவந்துள்ளது. வெட்டுக்கு கீழே நமக்கு கிடைத்தது.
ஏன் லாஜிடெக்?
எங்கள் கருத்துப்படி, லாஜிடெக் உள்ளீட்டு சாதனங்கள் மிக உயர்ந்த தரம் மற்றும் மிகவும் வசதியானவை. எங்களிடம் உள்ள பெரும்பாலான சாதனங்கள் லாஜிடெக் தீர்வை அடிப்படையாகக் கொண்டவை
லாஜிடெக் யுனிஃபையிங் ஆதரவுடன் டாங்கிள் ரிசீவர்
விசைப்பலகை தாக்குபவர்களுக்கு தகவல் ஆதாரமாக மாறும். லாஜிடெக், சாத்தியமான அச்சுறுத்தலைக் கருத்தில் கொண்டு, பாதுகாப்பைக் கவனித்துக்கொண்டது - வயர்லெஸ் விசைப்பலகையின் ரேடியோ சேனலில் AES128 குறியாக்க வழிமுறையைப் பயன்படுத்தியது. இந்தச் சூழ்நிலையில் தாக்குதல் நடத்துபவர்களின் முதல் எண்ணம், பிணைப்புச் செயல்பாட்டின் போது ரேடியோ சேனலில் அனுப்பப்படும்போது, முக்கியத் தகவலை இடைமறிப்பதுதான். எல்லாவற்றிற்கும் மேலாக, உங்களிடம் ஒரு விசை இருந்தால், நீங்கள் விசைப்பலகையின் ரேடியோ சிக்னல்களை இடைமறித்து அவற்றை மறைகுறியாக்கலாம். இருப்பினும், பயனர் அரிதாகவே (அல்லது ஒருபோதும்) விசைப்பலகையை ஒன்றிணைக்க வேண்டியதில்லை, மேலும் ஸ்கேனிங் ரேடியோவைக் கொண்ட ஹேக்கர் நீண்ட நேரம் காத்திருக்க வேண்டியிருக்கும். கூடுதலாக, இடைமறிப்பு செயல்முறையுடன் எல்லாம் மிகவும் எளிமையானது அல்ல. ஜூன் 2019 இல் சமீபத்திய ஆய்வில், பாதுகாப்பு நிபுணர் மார்கஸ் மெங்ஸ் ஆன்லைனில் வெளியிட்டார்
நோர்டிக் செமிகண்டக்டரின் NRF24 SoC அடிப்படையில் லாஜிடெக் டாங்கிள் பற்றிய எங்கள் பாதுகாப்பு ஆய்வைப் பற்றி பேசுவோம். ரேடியோ சேனலிலேயே ஆரம்பிக்கலாம்.
ரேடியோ சேனலில் தரவு எவ்வாறு "பறக்கிறது"
ரேடியோ சிக்னலின் நேர-அதிர்வெண் பகுப்பாய்விற்கு, ஸ்பெக்ட்ரம் அனலைசர் பயன்முறையில் பிளேட்-ஆர்எஃப் சாதனத்தின் அடிப்படையில் SDR ரிசீவரைப் பயன்படுத்தினோம் (நீங்கள் இதைப் பற்றியும் படிக்கலாம்
SDR பிளேடு-RF சாதனம்
ரேடியோ சிக்னலின் குவாட்ரேச்சர்களை ஒரு இடைநிலை அதிர்வெண்ணில் பதிவு செய்வதற்கான சாத்தியத்தையும் நாங்கள் கருத்தில் கொண்டோம், பின்னர் டிஜிட்டல் சிக்னல் செயலாக்க நுட்பங்களைப் பயன்படுத்தி பகுப்பாய்வு செய்யலாம்.
ரஷ்ய கூட்டமைப்பில் ரேடியோ அதிர்வெண்களுக்கான மாநில ஆணையம்
2,4 GHz அலைவரிசையின் ஸ்பெக்ட்ரம்
வரம்பில் குறுக்கீடு சூழல் மிகவும் சிக்கலானது. இருப்பினும், லாஜிடெக் ஆனது அதிர்வெண் தழுவல் வழிமுறைகளுடன் இணைந்து NRF24 டிரான்ஸ்ஸீவரில் மேம்படுத்தப்பட்ட ஷாக்பர்ஸ்ட் நெறிமுறையைப் பயன்படுத்துவதன் மூலம் நம்பகமான மற்றும் நிலையான வரவேற்பை வழங்க முடிந்தது.
ஒரு இசைக்குழுவில் உள்ள சேனல்கள் வரையறுக்கப்பட்டுள்ளபடி முழு எண் MHz நிலைகளில் வைக்கப்படுகின்றன
நேரப் பிரதிநிதித்துவத்தில் விசைப்பலகை ரேடியோ சிக்னல்
பெறுநர் வரவேற்பின் தொடர்புக் கொள்கையைப் பயன்படுத்துகிறார், எனவே அனுப்பப்பட்ட பாக்கெட்டில் முன்னுரை மற்றும் முகவரிப் பகுதி உள்ளது. சத்தம்-எதிர்ப்பு குறியீட்டு முறை பயன்படுத்தப்படவில்லை; தரவு உடல் AES128 அல்காரிதம் மூலம் குறியாக்கம் செய்யப்பட்டுள்ளது.
பொதுவாக, லாஜிடெக் வயர்லெஸ் விசைப்பலகையின் ரேடியோ இடைமுகம் புள்ளியியல் மல்டிபிளெக்சிங் மற்றும் அதிர்வெண் தழுவலுடன் முற்றிலும் ஒத்திசைவற்றதாக வகைப்படுத்தலாம். இதன் பொருள் விசைப்பலகை டிரான்ஸ்மிட்டர் ஒவ்வொரு புதிய பாக்கெட்டையும் அனுப்ப சேனலை மாற்றுகிறது. பெறுநருக்கு பரிமாற்ற நேரம் அல்லது அதிர்வெண் சேனல் முன்கூட்டியே தெரியாது, ஆனால் அவற்றின் பட்டியல் மட்டுமே தெரியும். ரிசீவர் மற்றும் டிரான்ஸ்மிட்டர் சேனலில் ஒருங்கிணைக்கப்பட்ட அதிர்வெண் பைபாஸ் மற்றும் கேட்கும் அல்காரிதம்கள் மற்றும் மேம்படுத்தப்பட்ட ஷாக்பர்ஸ்ட் ஒப்புகை வழிமுறைகள் ஆகியவற்றால் சந்திக்கின்றன. சேனல் பட்டியல் நிலையானதா என்பதை நாங்கள் ஆராயவில்லை. அநேகமாக, அதிர்வெண் தழுவல் அல்காரிதம் காரணமாக அதன் மாற்றம் ஏற்பட்டிருக்கலாம். அதிர்வெண் துள்ளல் முறைக்கு நெருக்கமான ஒன்று (இயக்க அதிர்வெண்ணின் போலி-சீரற்ற டியூனிங்) வரம்பின் அதிர்வெண் வளத்தைப் பயன்படுத்துவதைக் காணலாம்.
எனவே, நேர-அதிர்வெண் நிச்சயமற்ற நிலைமைகளின் கீழ், அனைத்து விசைப்பலகை சமிக்ஞைகளின் உத்தரவாதமான வரவேற்பை உறுதிசெய்ய, தாக்குபவர் 84 நிலைகளின் முழு அதிர்வெண் கட்டத்தையும் தொடர்ந்து கண்காணிக்க வேண்டும், இதற்கு குறிப்பிடத்தக்க அளவு நேரம் தேவைப்படுகிறது. USB கீ பிரித்தெடுத்தல் பாதிப்பு (CVE-2019-13054) ஏன் என்பது இங்கே தெளிவாகிறது.
உள்ளே இருந்து பிரச்சனையைப் பாருங்கள்
எங்கள் ஆய்வுக்காக, எங்களின் தற்போதைய லாஜிடெக் கே330 கீபோர்டுகளில் ஒன்றையும் லாஜிடெக் யுனிஃபையிங் டாங்கிளையும் தேர்வு செய்துள்ளோம்.
லாஜிடெக் K330
விசைப்பலகையின் உள்ளே பார்க்கலாம். நோர்டிக் செமிகண்டக்டரின் SoC NRF24 சிப் படிப்பதற்காக போர்டில் உள்ள ஒரு சுவாரஸ்யமான உறுப்பு.
லாஜிடெக் K24 வயர்லெஸ் கீபோர்டு போர்டில் SoC NRF330
ஃபார்ம்வேர் உள் நினைவகத்தில் அமைந்துள்ளது, வாசிப்பு மற்றும் பிழைத்திருத்த வழிமுறைகள் முடக்கப்பட்டுள்ளன. துரதிர்ஷ்டவசமாக, ஃபார்ம்வேர் திறந்த மூலங்களில் வெளியிடப்படவில்லை. எனவே, லாஜிடெக் டாங்கிள் ரிசீவரின் உள் உள்ளடக்கங்களைப் படிக்க - மறுபக்கத்திலிருந்து சிக்கலை அணுக முடிவு செய்தோம்.
டாங்கிள் ரிசீவரின் "உள் உலகம்" மிகவும் சுவாரஸ்யமானது. டாங்கிள் எளிதில் பிரித்தெடுக்கப்படுகிறது, உள்ளமைக்கப்பட்ட USB கன்ட்ரோலருடன் நன்கு அறியப்பட்ட NRF24 வெளியீட்டை எடுத்துச் செல்கிறது மற்றும் USB பக்கத்திலிருந்தும் நேரடியாக புரோகிராமரிடமிருந்தும் மறுபிரசுரம் செய்யலாம்.
வீடுகள் இல்லாமல் லாஜிடெக் டாங்கிள்
ஃபார்ம்வேரைப் புதுப்பிப்பதற்கான நிலையான வழிமுறை இருப்பதால்
என்ன செய்யப்பட்டது: firmware RQR_012_005_00028.bin ஆனது Firmware Update Tool பயன்பாட்டின் உடலில் இருந்து பிரித்தெடுக்கப்பட்டது. அதன் ஒருமைப்பாட்டை சரிபார்க்க, டாங்கிள் கட்டுப்படுத்தி ஒரு கேபிளுடன் இணைக்கப்பட்டது
லாஜிடெக் டாங்கிளை ChipProg 48 புரோகிராமருடன் இணைப்பதற்கான கேபிள்
ஃபார்ம்வேரின் ஒருமைப்பாட்டைக் கட்டுப்படுத்த, அது வெற்றிகரமாக கட்டுப்படுத்தியின் நினைவகத்தில் வைக்கப்பட்டு சரியாக வேலை செய்தது, லாஜிடெக் யூனிஃபையிங் வழியாக விசைப்பலகை மற்றும் மவுஸ் டாங்கிளுடன் இணைக்கப்பட்டன. ஃபார்ம்வேருக்கு கிரிப்டோகிராஃபிக் பாதுகாப்பு வழிமுறைகள் இல்லாததால், நிலையான புதுப்பிப்பு பொறிமுறையைப் பயன்படுத்தி மாற்றியமைக்கப்பட்ட ஃபார்ம்வேரைப் பதிவேற்றுவது சாத்தியமாகும். பிழைத்திருத்தம் இந்த வழியில் மிக வேகமாக இருப்பதால், ஆராய்ச்சி நோக்கங்களுக்காக, புரோகிராமருடன் ஒரு உடல் இணைப்பைப் பயன்படுத்தினோம்.
நிலைபொருள் ஆராய்ச்சி மற்றும் பயனர் உள்ளீடு மீதான தாக்குதல்
NRF24 சிப் பாரம்பரிய ஹார்வர்ட் கட்டிடக்கலையில் இன்டெல் 8051 கம்ப்யூட்டிங் மையத்தின் அடிப்படையில் வடிவமைக்கப்பட்டுள்ளது. மையத்திற்கு, டிரான்ஸ்ஸீவர் ஒரு புற சாதனமாக செயல்படுகிறது மற்றும் பதிவுகளின் தொகுப்பாக முகவரி இடத்தில் வைக்கப்படுகிறது. சிப் மற்றும் சோர்ஸ் கோட் எடுத்துக்காட்டுகளுக்கான ஆவணங்களை இணையத்தில் காணலாம், எனவே ஃபார்ம்வேரை பிரிப்பது கடினம் அல்ல. தலைகீழ் பொறியியலின் போது, ரேடியோ சேனலில் இருந்து கீஸ்ட்ரோக் தரவைப் பெறுவதற்கான செயல்பாடுகளை உள்ளூர்மயமாக்கி, USB இடைமுகம் வழியாக ஹோஸ்டுக்கு அனுப்புவதற்கு HID வடிவமாக மாற்றினோம். உட்செலுத்துதல் குறியீடு இலவச நினைவக முகவரிகளில் வைக்கப்பட்டது, இதில் கட்டுப்பாட்டை இடைமறிப்பது, அசல் செயல்படுத்தல் சூழலைச் சேமித்தல் மற்றும் மீட்டமைத்தல் மற்றும் செயல்பாட்டுக் குறியீடு ஆகியவை அடங்கும்.
ரேடியோ சேனலில் இருந்து டாங்கிள் பெற்ற விசையை அழுத்தி அல்லது வெளியிடும் பாக்கெட் டிக்ரிப்ட் செய்யப்பட்டு, நிலையான HID அறிக்கையாக மாற்றப்பட்டு, வழக்கமான கீபோர்டில் இருந்து USB இடைமுகத்திற்கு அனுப்பப்படுகிறது. ஆய்வின் ஒரு பகுதியாக, எச்ஐடி அறிக்கையின் எச்ஐடி அறிக்கையின் ஒரு பகுதியானது, மாற்றியமைக்கும் கொடிகளின் பைட் மற்றும் கீஸ்ட்ரோக் குறியீடுகளுடன் கூடிய 6 பைட்டுகளின் வரிசையைக் கொண்ட HID அறிக்கையின் பகுதியாகும் (குறிப்புக்காக, HID பற்றிய தகவல்
HID அறிக்கை அமைப்பு:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;
HID கட்டமைப்பை ஹோஸ்டுக்கு அனுப்புவதற்கு முன், உட்செலுத்தப்பட்ட குறியீடு கட்டுப்பாட்டை எடுத்து, நினைவகத்தில் உள்ள 8 பைட்டுகளின் சொந்த HID தரவை நகலெடுத்து, தெளிவான உரையில் ரேடியோ பக்க சேனலுக்கு அனுப்புகிறது. குறியீட்டில் இது போல் தெரிகிறது:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<
கையாளுதல் வேகம் மற்றும் பாக்கெட் கட்டமைப்பின் சில சிறப்பியல்புகளுடன் நாங்கள் அமைத்த அதிர்வெண்ணில் பக்க சேனல் ஒழுங்கமைக்கப்பட்டுள்ளது.
சிப்பில் உள்ள டிரான்ஸ்ஸீவரின் செயல்பாடு
சைட் சேனலில் டிமோடுலேட்டட் பர்ஸ்ட் பர்ஸ்ட் சிக்னல்
பாக்கெட் பக்க சேனலுக்கு அனுப்பப்பட்ட பிறகு, உட்செலுத்தப்பட்ட குறியீடு டிரான்ஸ்ஸீவரின் நிலையை மீட்டெடுக்கிறது. இப்போது அது மீண்டும் அசல் ஃபார்ம்வேரின் சூழலில் சாதாரணமாக வேலை செய்யத் தயாராக உள்ளது.
அதிர்வெண் மற்றும் நேர-அதிர்வெண் களங்களில், பக்க சேனல் இதுபோல் தெரிகிறது:
பக்க சேனலின் நிறமாலை மற்றும் நேர அதிர்வெண் பிரதிநிதித்துவம்
மாற்றியமைக்கப்பட்ட ஃபார்ம்வேர் மூலம் NRF24 சிப்பின் செயல்பாட்டைச் சோதிக்க, மாற்றியமைக்கப்பட்ட ஃபார்ம்வேர் கொண்ட லாஜிடெக் டாங்கிள், வயர்லெஸ் கீபோர்டு மற்றும் NRF24 சிப் உடன் சீன மாட்யூலின் அடிப்படையில் அசெம்பிள் செய்யப்பட்ட ரிசீவர் ஆகியவற்றை உள்ளடக்கிய நிலைப்பாட்டை நாங்கள் சேகரித்தோம்.
லாஜிடெக் வயர்லெஸ் விசைப்பலகை ரேடியோ சிக்னல் இடைமறிப்பு சுற்று
NRF24 அடிப்படையிலான தொகுதி
பெஞ்சில், விசைப்பலகை பொதுவாக இயங்கும் நிலையில், அதை லாஜிடெக் டாங்கிளுடன் இணைத்த பிறகு, பக்க ரேடியோ சேனலில் உள்ள கீஸ்ட்ரோக்குகள் பற்றிய தெளிவான தரவு பரிமாற்றம் மற்றும் முக்கிய ரேடியோ இடைமுகத்தில் மறைகுறியாக்கப்பட்ட தரவின் இயல்பான பரிமாற்றத்தை நாங்கள் கவனித்தோம். இதனால், பயனர் விசைப்பலகை உள்ளீட்டின் நேரடி குறுக்கீட்டை எங்களால் வழங்க முடிந்தது:
விசைப்பலகை உள்ளீட்டை இடைமறித்ததன் விளைவு
உட்செலுத்தப்பட்ட குறியீடு டாங்கிள் ஃபார்ம்வேரின் செயல்பாட்டில் சிறிது தாமதங்களை அறிமுகப்படுத்துகிறது. இருப்பினும், அவை பயனர் கவனிக்க முடியாத அளவுக்கு சிறியவை.
நீங்கள் கற்பனை செய்வது போல், இந்த தாக்குதல் திசையன்களுக்கு யுனிஃபைங் தொழில்நுட்பத்துடன் இணக்கமான எந்த லாஜிடெக் விசைப்பலகையும் பயன்படுத்தப்படலாம். பெரும்பாலான லாஜிடெக் விசைப்பலகைகளுடன் சேர்க்கப்பட்டுள்ள யூனிஃபையிங் ரிசீவரை தாக்குதலால் குறிவைப்பதால், இது குறிப்பிட்ட விசைப்பலகை மாதிரியிலிருந்து சுயாதீனமாக உள்ளது.
முடிவுக்கு
ஆய்வின் முடிவுகள் தாக்குபவர்களால் கருதப்படும் சூழ்நிலையைப் பயன்படுத்துவதைப் பரிந்துரைக்கின்றன: ஒரு ஹேக்கர் பாதிக்கப்பட்டவருக்குப் பதிலாக லாஜிடெக் வயர்லெஸ் விசைப்பலகைக்கான டாங்கிள் ரிசீவரைப் பயன்படுத்தினால், அவர் பாதிக்கப்பட்டவரின் கணக்குகளுக்கான கடவுச்சொற்களை அடுத்தடுத்து கண்டுபிடிக்க முடியும். விளைவுகள். விசை அழுத்தங்களைச் செலுத்துவதும் சாத்தியம் என்பதை மறந்துவிடாதீர்கள், அதாவது பாதிக்கப்பட்டவரின் கணினியில் தன்னிச்சையான குறியீட்டை இயக்குவது கடினம் அல்ல.
திடீரென்று ஒரு தாக்குபவர் USB வழியாக எந்த லாஜிடெக் டாங்கிலின் ஃபார்ம்வேரையும் தொலைவிலிருந்து மாற்றினால் என்ன செய்வது? பின்னர், நெருக்கமாக இருக்கும் டாங்கிள்களில் இருந்து, ரிப்பீட்டர்களின் நெட்வொர்க்கை உருவாக்கி, கசிவு தூரத்தை அதிகரிக்கலாம். "நிதிப் பணக்காரர்" தாக்குபவர், அருகிலுள்ள கட்டிடத்தில் இருந்தும் விசைப்பலகை உள்ளீடு மற்றும் அழுத்தும் விசைகளை "கேட்க" முடியும் என்றாலும், நவீன ரேடியோ வரவேற்பு கருவிகள், அதிக தேர்ந்தெடுக்கப்பட்ட அமைப்புகளுடன், உணர்திறன் ரேடியோ ரிசீவர்கள் குறுகிய அதிர்வெண் டியூனிங் நேரங்கள் மற்றும் அதிக திசை ஆண்டெனாக்கள் அவற்றை அனுமதிக்கும். விசைப்பலகை உள்ளீட்டை "கேட்க" மற்றும் அருகிலுள்ள கட்டிடத்தில் இருந்து விசைகளை அழுத்தவும்.
தொழில்முறை வானொலி உபகரணங்கள்
லாஜிடெக் விசைப்பலகையின் வயர்லெஸ் டேட்டா டிரான்ஸ்மிஷன் சேனல் நன்கு பாதுகாக்கப்படுவதால், கண்டுபிடிக்கப்பட்ட தாக்குதல் திசையன் ரிசீவருக்கு உடல் அணுகல் தேவைப்படுகிறது, இது தாக்குபவர்களை பெரிதும் கட்டுப்படுத்துகிறது. ரிசீவர் ஃபார்ம்வேருக்கு கிரிப்டோகிராஃபிக் பாதுகாப்பு வழிமுறைகளைப் பயன்படுத்துவதே இந்த விஷயத்தில் ஒரே பாதுகாப்பு விருப்பமாக இருக்கும், எடுத்துக்காட்டாக, ரிசீவர் பக்கத்தில் ஏற்றப்பட்ட ஃபார்ம்வேரின் கையொப்பத்தை சரிபார்க்கிறது. ஆனால், துரதிருஷ்டவசமாக, NRF24 இதை ஆதரிக்கவில்லை மற்றும் தற்போதைய சாதன கட்டமைப்பிற்குள் பாதுகாப்பை செயல்படுத்த இயலாது. எனவே உங்கள் டாங்கிள்களை கவனித்துக் கொள்ளுங்கள், ஏனெனில் விவரிக்கப்பட்ட தாக்குதல் விருப்பத்திற்கு அவற்றை உடல் ரீதியாக அணுக வேண்டும்.
ரக்கூன் செக்யூரிட்டி என்பது நடைமுறை தகவல் பாதுகாப்பு, கிரிப்டோகிராஃபி, சர்க்யூட் டிசைன், ரிவர்ஸ் இன்ஜினியரிங் மற்றும் லோ-லெவல் சாஃப்ட்வேர் உருவாக்கம் ஆகிய துறைகளில் வல்கன் ரிசர்ச் அண்ட் டெவலப்மென்ட் சென்டரின் சிறப்பு நிபுணர்களின் குழுவாகும்.
ஆதாரம்: www.habr.com