تاریخی طور پر، زیادہ تر ملازمین Logitech سے وائرلیس کی بورڈ اور چوہے استعمال کرتے ہیں۔ ایک بار پھر اپنے پاس ورڈ درج کرتے ہوئے، ہم نے، ریکون سیکیورٹی ٹیم کے ماہرین نے، خود سے پوچھا: وائرلیس کی بورڈز کے سیکیورٹی میکانزم کو نظرانداز کرنا کتنا مشکل ہے؟ مطالعہ نے آرکیٹیکچرل خامیوں اور سافٹ ویئر کی غلطیوں کا انکشاف کیا جو ان پٹ ڈیٹا تک رسائی کی اجازت دیتے ہیں۔ کٹ کے نیچے وہی ہے جو ہمیں ملا ہے۔
کیوں Logitech؟
ہماری رائے میں، Logitech ان پٹ ڈیوائسز اعلیٰ ترین معیار اور سب سے زیادہ آسان ہیں۔ ہمارے پاس موجود زیادہ تر ڈیوائسز Logitech حل پر مبنی ہیں۔ ایک یونیورسل ڈونگل ریسیور ہے جو آپ کو 6 ڈیوائسز تک جوڑنے کی اجازت دیتا ہے۔ Logitech Unifying ٹیکنالوجی کے ساتھ ہم آہنگ تمام آلات کو Logitech Unifying ٹیکنالوجی لوگو سے نشان زد کیا گیا ہے۔ استعمال میں آسان آپ کو آپ کے کمپیوٹر سے وائرلیس کی بورڈ کے کنکشن کا نظم کرنے کی اجازت دیتا ہے۔ کی بورڈ کو Logitech ریسیور ڈونگل سے جوڑنے کے عمل کے ساتھ ساتھ خود ٹیکنالوجی کا احاطہ کیا گیا ہے، مثال کے طور پر، .
لوجیٹیک یونیفائنگ سپورٹ کے ساتھ ڈونگل ریسیور
کی بورڈ حملہ آوروں کے لیے معلومات کا ذریعہ بن سکتا ہے۔ Logitech، ممکنہ خطرے کو مدنظر رکھتے ہوئے، سیکورٹی کا خیال رکھا - اس نے وائرلیس کی بورڈ کے ریڈیو چینل میں AES128 انکرپشن الگورتھم کا استعمال کیا۔ اس صورت حال میں حملہ آور کا پہلا خیال یہ ہے کہ جب بائنڈنگ کے طریقہ کار کے دوران اسے ریڈیو چینل پر منتقل کیا جائے تو کلیدی معلومات کو روکنا ہے۔ بہر حال، اگر آپ کے پاس کلید ہے، تو آپ کی بورڈ کے ریڈیو سگنلز کو روک سکتے ہیں اور انہیں ڈکرپٹ کر سکتے ہیں۔ تاہم، صارف کو شاذ و نادر ہی (یا کبھی نہیں) کی بورڈ کو یکجا کرنا پڑتا ہے، اور اسکیننگ ریڈیو والے ہیکر کو طویل انتظار کرنا پڑے گا۔ اس کے علاوہ، مداخلت کے عمل کے ساتھ ہی سب کچھ اتنا آسان نہیں ہے۔ جون 2019 میں تازہ ترین تحقیق میں، سیکورٹی ماہر مارکس مینگز نے آن لائن شائع کیا۔ Logitech USB ڈونگلز کے پرانے فرم ویئر میں کمزوری کی دریافت کے بارے میں۔ یہ آلات تک جسمانی رسائی والے حملہ آوروں کو ریڈیو چینل کی انکرپشن کیز حاصل کرنے اور کی اسٹروکس (CVE-2019-13054) انجیکشن کرنے کی اجازت دیتا ہے۔
ہم نورڈک سیمی کنڈکٹر سے NRF24 SoC پر مبنی Logitech ڈونگل کے اپنے حفاظتی مطالعہ کے بارے میں بات کریں گے۔ آئیے شروع کرتے ہیں، شاید، ریڈیو چینل سے۔
ریڈیو چینل میں ڈیٹا کیسے "اڑتا ہے"
ریڈیو سگنل کے ٹائم فریکوئنسی تجزیہ کے لیے، ہم نے اسپیکٹرم اینالائزر موڈ میں Blade-RF ڈیوائس پر مبنی SDR ریسیور کا استعمال کیا (آپ اس کے بارے میں بھی پڑھ سکتے ہیں ).
SDR بلیڈ-RF ڈیوائس
ہم نے انٹرمیڈیٹ فریکوئنسی پر ریڈیو سگنل کے quadratures کو ریکارڈ کرنے کے امکان پر بھی غور کیا، جس کے بعد ڈیجیٹل سگنل پروسیسنگ تکنیک کا استعمال کرتے ہوئے تجزیہ کیا جا سکتا ہے۔
روسی فیڈریشن میں ریڈیو فریکوئنسی پر ریاستی کمیشن مختصر فاصلے والے آلات کے استعمال کے لیے، فریکوئنسی رینج 2400–2483,5 میگاہرٹز ہے۔ یہ ایک بہت ہی "آبادی" کی حد ہے، جس میں آپ کو کچھ نہیں ملے گا: وائی فائی، بلوٹوتھ، ہر قسم کے ریموٹ کنٹرول، سیکیورٹی سسٹم، وائرلیس ڈیٹیکٹر، کی بورڈ والے چوہے اور دیگر وائرلیس ڈیجیٹل ڈیوائسز۔
2,4 GHz بینڈ کا سپیکٹرم
رینج میں مداخلت کا ماحول کافی پیچیدہ ہے۔ اس کے باوجود، Logitech فریکوئنسی موافقت الگورتھم کے ساتھ مل کر NRF24 ٹرانسیور میں Enhanced ShockBurst پروٹوکول کے استعمال کے ذریعے قابل اعتماد اور مستحکم استقبال فراہم کرنے میں کامیاب رہا۔
ایک بینڈ میں چینلز انٹیجر میگاہرٹز پوزیشنوں پر رکھے جاتے ہیں جیسا کہ اس میں بیان کیا گیا ہے۔ NRF24 نورڈک سیمی کنڈکٹر - فریکوئنسی گرڈ میں کل 84 چینلز۔ Logitech کی طرف سے بیک وقت استعمال ہونے والے فریکوئنسی چینلز کی تعداد یقیناً کم ہے۔ ہم نے کم از کم چار کے استعمال کی نشاندہی کی۔ استعمال شدہ سگنل سپیکٹرم تجزیہ کار کی محدود بینڈوڈتھ کی وجہ سے، استعمال شدہ فریکوئنسی پوزیشنز کی صحیح فہرست کا تعین نہیں کیا جا سکا، لیکن یہ ضروری نہیں تھا۔ کی بورڈ سے ریسیور ڈونگل تک معلومات کو برسٹ موڈ میں منتقل کیا جاتا ہے (ٹرانسمیٹر پر مختصر موڑ) دو پوزیشن فریکوئنسی ماڈیولیشن GFSK کا استعمال کرتے ہوئے 1 Mbaud کی علامت کی شرح پر:
وقت کی نمائندگی میں کی بورڈ ریڈیو سگنل
وصول کنندہ استقبالیہ کے باہمی تعلق کے اصول کو استعمال کرتا ہے، اس لیے منتقل شدہ پیکٹ میں تمہید اور ایڈریس کا حصہ ہوتا ہے۔ شور مزاحم کوڈنگ کا استعمال نہیں کیا جاتا ہے؛ ڈیٹا باڈی کو AES128 الگورتھم کے ساتھ انکرپٹ کیا گیا ہے۔
عام طور پر، Logitech وائرلیس کی بورڈ کے ریڈیو انٹرفیس کو شماریاتی ملٹی پلیکسنگ اور فریکوئنسی موافقت کے ساتھ مکمل طور پر غیر مطابقت پذیر بنایا جا سکتا ہے۔ اس کا مطلب ہے کہ کی بورڈ ٹرانسمیٹر ہر نئے پیکٹ کو منتقل کرنے کے لیے چینل کو سوئچ کرتا ہے۔ وصول کنندہ کو ٹرانسمیشن کے وقت یا فریکوئنسی چینل کا پہلے سے علم نہیں ہوتا، لیکن صرف ان کی فہرست معلوم ہوتی ہے۔ رسیور اور ٹرانسمیٹر مربوط فریکوئنسی بائی پاس اور سننے کے الگورتھم کے ساتھ ساتھ شاک برسٹ کو تسلیم کرنے کے بہتر طریقہ کار کی بدولت چینل میں ملتے ہیں۔ ہم نے تحقیقات نہیں کی ہیں کہ آیا چینل کی فہرست جامد ہے۔ شاید، اس کی تبدیلی فریکوئنسی موافقت الگورتھم کی وجہ سے ہے۔ فریکوئنسی ہاپنگ طریقہ (آپریٹنگ فریکوئنسی کی چھدم بے ترتیب ٹیوننگ) کے قریب کوئی چیز رینج کے فریکوئنسی وسائل کے استعمال میں دیکھی جا سکتی ہے۔
اس طرح، وقت کی تعدد کی غیر یقینی صورتحال کے تحت، تمام کی بورڈ سگنلز کے گارنٹیڈ استقبال کو یقینی بنانے کے لیے، حملہ آور کو 84 پوزیشنوں کے پورے فریکوئنسی گرڈ کی مسلسل نگرانی کرنے کی ضرورت ہوگی، جس کے لیے کافی وقت درکار ہے۔ یہاں یہ واضح ہو جاتا ہے کہ USB کلید نکالنے کا خطرہ کیوں ہے (CVE-2019-13054) کی بورڈ سے داخل کردہ ڈیٹا تک حملہ آور کی رسائی حاصل کرنے کے بجائے کی اسٹروکس کو انجیکشن کرنے کی صلاحیت کے طور پر پوزیشن میں ہے۔ ظاہر ہے، وائرلیس کی بورڈ کا ریڈیو انٹرفیس کافی پیچیدہ ہے اور 2,4 گیگا ہرٹز بینڈ میں مشکل مداخلت کے حالات میں لاجٹیک ڈیوائسز کے درمیان قابل اعتماد ریڈیو مواصلات فراہم کرتا ہے۔
اندر سے مسئلہ پر ایک نظر
اپنے مطالعہ کے لیے، ہم نے اپنے موجودہ Logitech K330 کی بورڈز میں سے ایک اور ایک Logitech یونیفائنگ ڈونگل کا انتخاب کیا۔
Logitech K330
آئیے کی بورڈ کے اندر ایک نظر ڈالتے ہیں۔ مطالعہ کرنے کے لیے بورڈ پر ایک دلچسپ عنصر Nordic Semiconductor سے SoC NRF24 چپ ہے۔
Logitech K24 وائرلیس کی بورڈ بورڈ پر SoC NRF330
فرم ویئر اندرونی میموری میں واقع ہے، پڑھنے اور ڈیبگ کرنے کا طریقہ کار غیر فعال ہے۔ بدقسمتی سے، فرم ویئر کو کھلے ذرائع میں شائع نہیں کیا گیا ہے۔ لہذا، ہم نے دوسری طرف سے مسئلے سے رجوع کرنے کا فیصلہ کیا - Logitech ڈونگل ریسیور کے اندرونی مواد کا مطالعہ کرنے کے لیے۔
ڈونگل ریسیور کی "اندرونی دنیا" کافی دلچسپ ہے۔ ڈونگل آسانی سے جدا ہو جاتا ہے، ایک بلٹ ان USB کنٹرولر کے ساتھ واقف NRF24 ریلیز کو بورڈ پر لے جاتا ہے اور اسے USB سائیڈ سے اور براہ راست پروگرامر سے دوبارہ پروگرام کیا جا سکتا ہے۔
لاجٹیک ڈونگل بغیر رہائش کے
چونکہ فرم ویئر کو استعمال کرتے ہوئے اپ ڈیٹ کرنے کا ایک معیاری طریقہ کار موجود ہے۔ (جس سے آپ اپ ڈیٹ شدہ فرم ویئر ورژن نکال سکتے ہیں)، ڈونگل کے اندر فرم ویئر کو تلاش کرنے کی ضرورت نہیں ہے۔
کیا کیا گیا تھا: فرم ویئر RQR_012_005_00028.bin کو فرم ویئر اپ ڈیٹ ٹول ایپلیکیشن کے باڈی سے نکالا گیا تھا۔ اس کی سالمیت کو جانچنے کے لیے ڈونگل کنٹرولر کو کیبل سے جوڑا گیا تھا۔ :
Logitech ڈونگل کو ChipProg 48 پروگرامر سے جوڑنے کے لیے کیبل
فرم ویئر کی سالمیت کو کنٹرول کرنے کے لیے، اسے کامیابی کے ساتھ کنٹرولر کی میموری میں رکھا گیا اور درست طریقے سے کام کیا، کی بورڈ اور ماؤس کو Logitech Unifying کے ذریعے ڈونگل سے منسلک کیا گیا۔ معیاری اپ ڈیٹ میکانزم کا استعمال کرتے ہوئے ترمیم شدہ فرم ویئر کو اپ لوڈ کرنا ممکن ہے، کیونکہ فرم ویئر کے لیے کوئی خفیہ حفاظتی میکانزم موجود نہیں ہے۔ تحقیقی مقاصد کے لیے، ہم نے پروگرامر سے ایک فزیکل کنکشن استعمال کیا، کیونکہ اس طرح ڈیبگنگ بہت تیز ہوتی ہے۔
فرم ویئر کی تحقیق اور صارف کے ان پٹ پر حملہ
NRF24 چپ روایتی ہارورڈ فن تعمیر میں Intel 8051 کمپیوٹنگ کور کی بنیاد پر ڈیزائن کی گئی ہے۔ کور کے لیے، ٹرانسیور ایک پیریفرل ڈیوائس کے طور پر کام کرتا ہے اور اسے ایڈریس اسپیس میں رجسٹر کے سیٹ کے طور پر رکھا جاتا ہے۔ چپ اور سورس کوڈ کی مثالیں انٹرنیٹ پر مل سکتی ہیں، لہذا فرم ویئر کو الگ کرنا مشکل نہیں ہے۔ ریورس انجینئرنگ کے دوران، ہم نے ریڈیو چینل سے کی اسٹروک ڈیٹا حاصل کرنے اور اسے USB انٹرفیس کے ذریعے میزبان تک منتقل کرنے کے لیے HID فارمیٹ میں تبدیل کرنے کے فنکشنز کو مقامی بنایا۔ انجیکشن کوڈ کو مفت میموری ایڈریسز میں رکھا گیا تھا، جس میں کنٹرول کو روکنے، عمل درآمد کے اصل سیاق و سباق کو بچانے اور بحال کرنے کے ساتھ ساتھ فنکشنل کوڈ شامل تھے۔
ریڈیو چینل سے ڈونگل کے ذریعے موصول ہونے والی کلید کو دبانے یا جاری کرنے کے پیکٹ کو ڈکرپٹ کیا جاتا ہے، اسے معیاری HID رپورٹ میں تبدیل کیا جاتا ہے اور باقاعدہ کی بورڈ کی طرح USB انٹرفیس پر بھیجا جاتا ہے۔ مطالعہ کے ایک حصے کے طور پر، HID رپورٹ کا وہ حصہ جو ہمارے لیے سب سے زیادہ دلچسپی کا حامل ہے وہ HID رپورٹ کا وہ حصہ ہے جس میں ترمیم کرنے والے جھنڈوں کا ایک بائٹ اور کی اسٹروک کوڈز کے ساتھ 6 بائٹس کی ایک صف ہے (حوالہ کے لیے، HID کے بارے میں معلومات ).
HID رپورٹ کا ڈھانچہ:
// Keyboard HID report structure.
// See https://flylib.com/books/en/4.168.1.83/1/ (last access 2018 december)
// "Reports and Report Descriptors", "Programming the Microsoft Windows Driver Model"
typedef struct{
uint8_t Modifiers;
uint8_t Reserved;
uint8_t KeyCode[6];
}HidKbdReport_t;HID ڈھانچہ میزبان کو منتقل کرنے سے فوراً پہلے، انجکشن شدہ کوڈ کنٹرول لے لیتا ہے، میموری میں مقامی HID ڈیٹا کی 8 بائٹس کاپی کرتا ہے اور اسے واضح متن میں ریڈیو سائیڈ چینل کو بھیجتا ہے۔ کوڈ میں یہ اس طرح لگتا ہے:
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~>
// Profiling have shown time execution ~1.88 mSec this block of code
SaveRfState(); // save transceiver state
RfInitForTransmition(TransmitRfAddress); // configure for special trnsmition
hal_nrf_write_tx_payload_noack(pDataToSend,sizeof(HidKbdReport_t)); // Write payload to radio TX FIFO
CE_PULSE(); // Toggle radio CE signal to start transmission
RestoreRfState(); // restore original transceiver state
//~~~~~~~~~ Send data via radio ~~~~~~~~~~~~~~~~~~~~~~~~~<سائیڈ چینل کو اس فریکوئنسی پر منظم کیا جاتا ہے جسے ہم ہیرا پھیری کی رفتار اور پیکٹ کی ساخت کی مخصوص خصوصیات کے ساتھ سیٹ کرتے ہیں۔
چپ میں ٹرانسیور کا آپریشن ریاستی گراف پر مبنی ہے جس میں بہتر شاک برسٹ پروٹوکول باضابطہ طور پر مربوط ہے۔ ہم نے پایا کہ HID ڈیٹا کو میزبان USB انٹرفیس میں منتقل کرنے سے پہلے، ٹرانسیور IDLE حالت میں تھا۔ یہ سائیڈ چینل میں کام کرنے کے لیے اسے محفوظ طریقے سے دوبارہ ترتیب دینا ممکن بناتا ہے۔ انجکشن شدہ کوڈ کنٹرول کو روکتا ہے، اصل ٹرانسیور کنفیگریشن کو مکمل طور پر محفوظ رکھتا ہے اور اسے سائیڈ چینل پر ایک نئے ٹرانسمیشن موڈ میں بدل دیتا ہے۔ بہتر شاک برسٹ تصدیقی طریقہ کار اس موڈ میں غیر فعال ہے؛ HID ڈیٹا کو ہوا کے اوپر واضح شکل میں منتقل کیا جاتا ہے۔ سائیڈ چینل میں پیکٹ کی ساخت نیچے دی گئی تصویر میں دکھائی گئی ہے، سگنل ڈایاگرام ڈیموڈولیشن کے بعد اور ڈیٹا کلاک سنکرونائزیشن کی بحالی سے پہلے حاصل کیے گئے تھے۔ ایڈریس ویلیو کا انتخاب پیکیج کی بصری شناخت میں آسانی کے لیے کیا گیا تھا۔
سائیڈ چینل میں ڈیموڈیلیٹڈ برسٹ برسٹ سگنل
پیکٹ کو سائیڈ چینل میں منتقل کرنے کے بعد، انجکشن شدہ کوڈ ٹرانسیور کی حالت کو بحال کرتا ہے۔ اب یہ دوبارہ اصل فرم ویئر کے تناظر میں عام طور پر کام کرنے کے لیے تیار ہے۔
فریکوئنسی اور ٹائم فریکوئنسی ڈومینز میں، سائیڈ چینل اس طرح نظر آتا ہے:
سائیڈ چینل کی سپیکٹرل اور ٹائم فریکوئنسی کی نمائندگی
ترمیم شدہ فرم ویئر کے ساتھ NRF24 چپ کے آپریشن کو جانچنے کے لیے، ہم نے ایک اسٹینڈ کو جمع کیا جس میں ترمیم شدہ فرم ویئر کے ساتھ ایک Logitech ڈونگل، ایک وائرلیس کی بورڈ اور NRF24 چپ کے ساتھ چینی ماڈیول کی بنیاد پر جمع کردہ ایک رسیور شامل تھا۔
لاجٹیک وائرلیس کی بورڈ ریڈیو سگنل انٹرسیپشن سرکٹ
NRF24 پر مبنی ماڈیول
بینچ پر، عام طور پر کام کرنے والے کی بورڈ کے ساتھ، اسے Logitech ڈونگل سے منسلک کرنے کے بعد، ہم نے سائیڈ ریڈیو چینل میں کی اسٹروکس کے بارے میں واضح ڈیٹا کی منتقلی اور مرکزی ریڈیو انٹرفیس میں خفیہ کردہ ڈیٹا کی عام ترسیل کا مشاہدہ کیا۔ اس طرح، ہم صارف کی بورڈ ان پٹ کی براہ راست مداخلت فراہم کرنے کے قابل تھے:
کی بورڈ ان پٹ کو روکنے کا نتیجہ
انجکشن شدہ کوڈ ڈونگل فرم ویئر کے آپریشن میں معمولی تاخیر کو متعارف کراتا ہے۔ تاہم، وہ صارف کے لیے بہت چھوٹے ہیں۔
جیسا کہ آپ تصور کر سکتے ہیں، کوئی بھی Logitech کی بورڈ جو یونیفائنگ ٹیکنالوجی سے ہم آہنگ ہو اس اٹیک ویکٹر کے لیے استعمال کیا جا سکتا ہے۔ چونکہ حملہ زیادہ تر Logitech کی بورڈز کے ساتھ شامل یونیفائنگ ریسیور کو نشانہ بناتا ہے، اس لیے یہ مخصوص کی بورڈ ماڈل سے آزاد ہے۔
حاصل يہ ہوا
مطالعہ کے نتائج حملہ آوروں کے زیر غور منظر نامے کے ممکنہ استعمال کی تجویز کرتے ہیں: اگر کوئی ہیکر شکار کو Logitech وائرلیس کی بورڈ کے لیے ڈونگل ریسیور سے بدل دیتا ہے، تو وہ متاثرہ کے اکاؤنٹس کے پاس ورڈز تلاش کرنے کے قابل ہو جائے گا۔ نتائج یہ نہ بھولیں کہ کی اسٹروک لگانا بھی ممکن ہے، جس کا مطلب ہے کہ متاثرہ کے کمپیوٹر پر صوابدیدی کوڈ کو چلانا مشکل نہیں ہے۔
کیا ہوگا اگر اچانک حملہ آور USB کے ذریعے کسی بھی Logitech ڈونگل کے فرم ویئر کو دور سے تبدیل کر سکتا ہے؟ پھر، قریب سے فاصلہ والے ڈونگلز سے، آپ ریپیٹرز کا نیٹ ورک بنا سکتے ہیں اور رساو کا فاصلہ بڑھا سکتے ہیں۔ اگرچہ ایک "مالی طور پر دولت مند" حملہ آور پڑوسی عمارت سے بھی کی بورڈ ان پٹ اور کیز کو "سننے" کے قابل ہو گا، لیکن انتہائی منتخب نظاموں کے ساتھ جدید ریڈیو ریسیپشن کا سامان، مختصر فریکوئنسی ٹیوننگ ٹائم کے ساتھ حساس ریڈیو ریسیورز اور انتہائی دشاتمک اینٹینا انہیں اجازت دیں گے۔ کی بورڈ ان پٹ کو "سننے" کے لیے اور پڑوسی عمارت سے بھی کیز دبائیں۔
پیشہ ور ریڈیو کا سامان
چونکہ لاجٹیک کی بورڈ کا وائرلیس ڈیٹا ٹرانسمیشن چینل کافی اچھی طرح سے محفوظ ہے، اس لیے پائے جانے والے اٹیک ویکٹر کو ریسیور تک جسمانی رسائی کی ضرورت ہوتی ہے، جو حملہ آور کو بہت حد تک محدود کر دیتی ہے۔ اس معاملے میں تحفظ کا واحد آپشن یہ ہوگا کہ ریسیور فرم ویئر کے لیے کرپٹوگرافک پروٹیکشن میکانزم کا استعمال کیا جائے، مثال کے طور پر، ریسیور سائیڈ پر بھری ہوئی فرم ویئر کے دستخط کو چیک کرنا۔ لیکن، بدقسمتی سے، NRF24 اس کی حمایت نہیں کرتا ہے اور موجودہ ڈیوائس فن تعمیر کے اندر تحفظ کو نافذ کرنا ناممکن ہے۔ لہذا اپنے ڈونگلز کا خیال رکھیں، کیونکہ بیان کردہ اٹیک آپشن کو ان تک جسمانی رسائی کی ضرورت ہے۔
Raccoon Security عملی معلومات کی حفاظت، خفیہ نگاری، سرکٹ ڈیزائن، ریورس انجینئرنگ اور کم درجے کے سافٹ ویئر بنانے کے شعبے میں Vulcan ریسرچ اینڈ ڈویلپمنٹ سینٹر کے ماہرین کی ایک خصوصی ٹیم ہے۔
ماخذ: www.habr.com