Meie nutiseadmed peavad olema kasulikud, et juhtmeta ja sujuvalt suhelda paljude teiste seadmetega.
Kõigi nende seadmete raadiod peavad ka omavahel rääkima.
Ja see võimaldas Black Hat turvakonverentsi teadlastel näidata uut tüüpi rünnakut, mille nad kutsusid Spectraks.
Uuringut tutvustasid Jiska Classen Brescia ülikooli Technische Universität Darmstadtist ja Francesco Gringoli; esimene ilmus ekraanile videovoo peale otsaesisele kinnitatud vikerkaarega fedora.
Sellised vägitükid olid võimalikud, kuna Black Hat'i konverents oli sel aastal võrgus, vastusena käimasolevale COVID-19 pandeemiale.
Rahutu kooseksisteerimine
Spektrid töötavad seetõttu, et nii Bluetooth- kui ka Wi-Fi-raadiod edastavad ringi 2,4 GHz sagedusalas, mistõttu ei saa nad oma ülekandeid üksteisele liiga lähedal saata.
Classen selgitas, et isegi siis, kui nad pole samas spektris, on siiski harmoonilisi, mille pärast muretseda.
"Nad peavad kuidagi üksteisele ütlema:" Ma kasutan nüüd sellist ja sellist sagedust "," ütles Classen.
Seda nimetatakse a kooseksisteerimise mehhanism, ja see pakub turvauurijatele huvitavaid omadusi.
"Nendel kiipidel on riistvaraühendused," ütles Classen.
"Ja neid ühendusi saab kasutada ilma operatsioonisüsteemist kontrollimata." Lühidalt öeldes on rünnaku takistusi vähem.
Mõne kahju tekitamine
Teadlased tegid kindlaks, et kooseksisteerimise suhteid saab kasutada mitmel viisil.
Kõige ilmsem oli teenuse keelamise (DoS) rünnak.
Kuna kiibid peavad koordineerima oma vastavate raadiosaadete tööd, võiks ühte kasutada selleks, et takistada teise edastamist.
Kui ründaja suudab juhtida näiteks WiFi-d, võivad nad takistada Bluetooth-raadio töötamist.
Süvenedes uurijad leidsid ka, et ühel kiibil oli võimalik avaldada mingisugust teavet teise kiibi tegevuse kohta.
Gringoli selgitas, kuidas Bluetooth-klaviatuur edastas konkreetsete sündmuste jaoks konkreetset teavet, sealhulgas traadita klaviatuuril konkreetse klahvi täpse vajutamise aega.
Kui ründajal on juurdepääs WiFi-süsteemile, saavad nad need klahvivajutussündmused kokku koguda.
Lisage koolitatud tehisintellekti abi ja Gringoli soovitas, et oleks võimalik arvata, mida kasutaja kirjutab.
Meeskonnal oli üks viimane avastus.
Ühes skeemis märkas Classen midagi nimega WLAN RAM Sharing, mis näis olevat mälu, millele pääseks juurde nii Wi-Fi kui ka Bluetooth süsteem.
Classen kirjeldas seda uurimistöö osa järgmiselt: "kui kulutate liiga palju kõrvalkanalite otsimisele, kuid siis jääb üks suur asi puudu".
Meeskond otsustas, et ründaja, kellel on juurdepääs maja Bluetooth-poolele, võib lugeda teavet WiFi-RAM-ist.
Nad avastasid ka, et Bluetooth suudab kirjutama ka sellesse mällu ja et WiFi-pool täidaks selle koodi - see on alati suurepärane leid turvauurijatele.
Classen ütles, et selle avastuse ärakasutamine ei olnud eriti keeruline: lihtsalt "jagatud mälupiirkonda kraami juhuslikult kirjutamine" võib põhjustada krahhe ja tuumapaanikat.
Classen võttis leiud kokku lihtsa graafikuga.
Bluetoothi ??kaugkoodi käivitamine võimaldab draiveri tuuma paanikat, teabe avalikustamist ja koodi käivitamist WiFi-süsteemis.
WiFi-süsteemi kaugkoodi käivitamine võimaldab teenuse keelamist ja teabe avalikustamist Bluetoothi ??poolelt.
Tõesti, jagatud maja ei saa seista.
Probleemi ulatus
Teadlased keskendusid oma töös Broadcomi kombokiibile, mis sisaldab WiFi ja Bluetoothi ??juhtnuppe.
Broadcomi WiFi ja Bluetoothi ??operatsiooni ostis Cypress Semiconductor 2016.
aastal.
On selge, et neid kiipe on kõikjal, kuid teadlased märkisid, et tootjad ei anna alati välja, milliseid kiipe teatud seadmetes kasutatakse.
Duo spekuleeris, et nad on sadades miljonites seadmetes.
Kogu ettekande vältel näitas meeskond pikki tabeleid, mis näitasid, millised seadmed olid nende teada haavatavad ja millised rünnakud.
Need varieerusid vanematest seadmetest, näiteks Nexus 5, kuni tippklassi seadmeteni, sealhulgas aastatel 2019-2020 töötava MacBook Pro-ni.
Samuti ilmusid Vaarika Pis, iPhone ja Samsung Galaxy seadmed.
Mõne rünnaku edu sõltub siiski OS-i versioonist.
Teadlased läbisid vastutustundliku avalikustamisprotsessi, kuid Classen märkis, et paljudel teistel tootjatel on Broadcomiga sarnased varalised kooseksisteerimise funktsioonid - see tähendab, et ka seal võivad esineda samad või sarnased haavatavused.
"Nii küsisime Broadcomilt, kas saaksime teisi traadita ühenduse tootjaid teavitada," ütles Classen.
Broadcom nõustus ja lõpuks laienes nimekiri Intelile, Marvellile, MediaTekile, NXP-le, Qualcommile ja Texas Instrumentsile.
Selle avalikustamise tulemus näib olevat veidi ebaühtlane.
Classen kontrollis iOS-i ja macOS Catalina uusimaid versioone ning probleem jäi endiselt lahendamata.
"Nii et ma arvan, et see on endiselt fikseerimata, kuna riistvaras on see väga madal."
See pole kindlasti Spectra loo lõpp.
Tegelikult rääkis Classen, et tulevasel konverentsil arutatakse Frankensteini-nimelist Bluetoothi ??kaugkoodi käivitamist.
See tähendab, et mõned Spectra rünnakud võivad olla võimalikud ilma otsese juurdepääsuta sihtseadmetele, tagades põneva uurimistöö alles.
