Fejl i milliarder af WiFi og Bluetooth-chips tillader fri adgang til adgangskode og tyveri af f.eks. kreditkort på mobiltelefoner

Forskere ved University of Darmstadt, Brescia, CNIT og Secure Mobile Networking Lab har offentliggjort et papir, der beviser, at det er muligt at udtrække adgangskoder og manipulere trafik på en WiFi-chip ved at målrette mod en enheds Bluetooth-komponent. Vi har tidligere skrevet om bl.a. BRAKTOOTH, denne her hacking metode beskæftiger med de delte ressourcer der har til hensigt at gøre mobiler hurtigere.

Moderne forbrugerelektronikenheder som smartphones har SoCs med separate Bluetooth-, WiFi- og LTE-komponenter, hver med sin egen dedikerede sikkerhedsimplementering. Det er et af de store problemer at disse oftest deler de samme ressourcer, såsom antennen eller det trådløse spektrum.

Denne ressourcedeling har til formål at gøre soc’erne mere energieffektive og give dem højere gennemløb og hurtig latenstid i kommunikation. Men som forskernes detaljer viser i det nyligt offentliggjorte papir, er det muligt at bruge disse delte ressourcer som broer til lancering af lateral privilegium eskalering angreb på tværs af trådløse chip grænser.

Konsekvenserne af disse angreb omfatter også udførelse af programkode, hukommelsesudlæsning og Denial-of-Service.

Flere fejl i arkitektur og protokol

For at udnytte disse sårbarheder, skal forskerne først udføre kode udførelse på enten Bluetooth eller WiFi chip. Selvom dette ikke er meget almindeligt, er sårbarheder i fjernkørsel af kode, der påvirker Bluetooth og WiFi, f.eks. med Zephyr.

Zephyr-operativsystemet i realtid (RTOS) til integrerede enheder modtog dog tidligere på måneden en opdatering, der løser flere sårbarheder, der kan forårsage en DoS-tilstand (Denial-of-Service) og potentielt føre til fjernkørsel af programkode.

Problemerne blev opdaget i Zephyr’s Bluetooth LE Link Layer (LL) og dens gennemførelse af Logical Link Control and Adaptation Protocol (L2CAP).

På trods af at være et lille open source-projekt, er Zyphyr bakket op af store navne i branchen som Facebook, Google, Intel, Nordic Semiconductors og Adafruit.

Når forskerne opnåede kode udførelse på en chip, de kunne udføre laterale angreb på enhedens andre chips netop på grund af de delte hukommelsesressourcer.

I deres papir, forklarer forskerne, hvordan de kunne udføre OTA (Over-the-Air) denial of service, kode udførelse og hvordan man udtrækker netværksadgangskoder

Derudover kan de læse følsomme data om chipsæt fra Broadcom, Cypress, og Silicon Labs.

Disse svagheder blev tildelt følgende CVE’er:

  • CVE-2020-10368: WiFi ukrypteret datalæk (arkitektonisk)
  • CVE-2020-10367: Wi-Fi-kodeudførelse (arkitektonisk)
  • CVE- 2019-15063: Wi-Fi Denial of Service (protokol)
  • CVE-2020-10370: Bluetooth Denial of Service (protokol)
  • CVE-2020-10369: Bluetooth-datalæk (protokol)
  • CVE-2020-29531: WiFi Denial of Service (protokol)
  • CVE-2020-29533: WiFi-datalæk (protokol)
  • CVE-2020-29532: Bluetooth Denial of Service (protokol)
  • CVE-2020-29530: Bluetooth-datalæk (protokol)

Nogle af ovenstående fejl kan kun rettes ved en ny hardwarerevision, så firmwareopdateringer kan IKKE løse alle de identificerede sikkerhedsproblemer.

For eksempel kan fejl, der er afhængige af fysisk hukommelsesdeling, ikke løses af sikkerhedsopdateringer af nogen art.

I andre tilfælde vil formildende sikkerhedsproblemer som pakketid og metadatafejl resultere i alvorlige fald i pakkekoordineringens ydeevne.

Påvirkning og oprydning

Forskerne kiggede ind chips lavet af Broadcom, Silicon Labs, og Cypress, som findes inde i milliarder af elektroniske enheder.

Alle fejl er blevet ansvarligt rapporteret til chip leverandører, og nogle har udgivet sikkerhedsopdateringer, hvor det er muligt.

Mange har dog ikke behandlet sikkerhedsproblemerne, enten på grund af at det ikke længere er muligt at støtte eller supportere de berørte produkter, eller fordi en firmware patch er praktisk umuligt.



Enheder testet af forskerne mod CVE-2020-10368 og CVE-2020-10367
Kilde: Arxiv.org

Fra november 2021, mere end to år efter rapportering af den første sameksistensfejl, virker sameksistensangreb, herunder kodeudførelse, stadig på opdaterede Broadcom-chips. Igen, dette fremhæver, hvor svært disse spørgsmål er at løse i praksis.

Cypress udgav nogle rettelser i juni 2020 og opdaterede status i oktober som følger:

  • De hævder, at den delte RAM-funktion, der forårsager kodeudførelse, kun er blevet “aktiveret af udviklingsværktøjer til test af mobiltelefonplatforme.” De planlægger at fjerne understøttelsen til dette i fremtiden.
  • Tastetryk oplysninger lækage er bemærket som løst uden en patch, fordi “tastatur pakker kan identificeres på andre måder.”
  • DoS modstand er endnu ikke løst, men er under udvikling. Til dette planlægger “Cypress at implementere en skærmfunktion i WiFi- og Bluetooth-stakkene for at muliggøre et systemrespons på unormale trafikmønstre.”

Ifølge forskerne, selv om, fastsættelse af de identificerede problemer har været langsom og utilstrækkelig, og det farligste aspekt af angrebet er stadig stort set uløst.

“Over-the-air angreb via Bluetooth-chippen, kan ikke afbødes af de nuværende patches. Kun grænsefladen Bluetooth daemon→Bluetooth-chip er hærdet, ikke den delte RAM-grænseflade, der muliggør Bluetooth-chip→WiFi-chip kode udførelse. Det er vigtigt at bemærke, at dæmonen→chip interface aldrig var designet til at være sikker mod angreb.” – står der i det tekniske papir.

“For eksempel kan den første patch omgås med et UART-interfaceoverløb (CVE-2021-22492) i chippens firmware indtil en nylig patch, som i det mindste blev anvendt af Samsung i januar 2021. Desuden, mens du skriver til Bluetooth RAM via denne grænseflade er blevet deaktiveret på iOS-enheder, iPhone 7 på iOS 14.3 ville stadig tillade en anden kommando til at udføre vilkårlige opgaver i RAM.

Bleeping Computer har nået ud til alle leverandører og bedt om en kommentar til ovenstående, og vi vil opdatere dette indlæg, så snart vi hører tilbage.

I mellemtiden, og så længe disse hardwarerelaterede problemer forbliver ikke-orienterede, rådes brugerne til at følge disse enkle beskyttelsesforanstaltninger:

  • Slet unødvendige Bluetooth-enhedsparringer,
  • Fjern ubrugte WiFi-netværk fra indstillingerne
  • Brug mobilnetværk i stedet for WiFi i det offentlige rum.

Som en sidste bemærkning vil vi sige, at patching udrulningen favorisere de nyere enhedsmodeller, så opgradering til en nyere model, som sælgeren aktivt understøtter, er altid en god ide fra sikkerhedsperspektivet.

Kilde: Bleebing Computer