Cette année, à DÉF CON 28 DEF CON Safe Mode, des chercheurs en sécurité (Jiska Classen) et (Francesco Gringoli) ont donné une conférence sur l'élévation des privilèges inter-puces à l'aide de mécanismes de coexistence sans fil. Le titre est accrocheur, bien sûr, mais de quoi s'agit-il exactement?

Pour comprendre cette faille de sécurité, ou groupe de failles de sécurité, nous devons d'abord savoir ce que sont les mécanismes de coexistence sans fil. Les appareils modernes peuvent prendre en charge les normes de communication sans fil cellulaires et non cellulaires en même temps (LTE, WiFi, Bluetooth). Compte tenu de la miniaturisation souhaitée de nos appareils, les différents sous-systèmes qui supportent ces technologies de communication doivent résider à proximité physique très étroite au sein de l'appareil (coexistence in-device). Le niveau élevé de fuite réciproque qui en résulte peut parfois provoquer des interférences considérables.

Il existe plusieurs scénarios où des interférences peuvent se produire, les principaux sont:

  • Deux systèmes radio occupent des fréquences voisines et une fuite de porteuse se produit
  • Les harmoniques d'un émetteur tombent sur des fréquences utilisées par un autre système
  • Deux systèmes radio partagent les mêmes fréquences

Pour faire face à ce genre de problèmes, les fabricants ont dû mettre en place des stratégies afin que les puces sans fil des appareils puissent coexister (parfois même partageant la même antenne) et réduire les interférences au minimum. Ils sont appelés mécanismes de coexistence et permettent une communication haute performance sur des bandes de fréquences qui se croisent et sont donc essentiels à tout appareil mobile moderne. Malgré l'existence de solutions ouvertes, telles que les normes sans fil mobiles, les fabricants mettent généralement en œuvre des solutions propriétaires.

Spectra

Spectra est une nouvelle classe d'attaque démontrée dans cette discussion DEF CON, qui se concentre sur les puces combo Broadcom et Cypress WiFi / Bluetooth. Sur une puce combinée, WiFi et Bluetooth fonctionnent sur des cœurs de traitement séparés et les informations de coexistence sont directement échangées entre les cœurs à l'aide de l'interface de coexistence améliorée série (SECI) et ne passent pas par le système d'exploitation sous-jacent.

Les attaques de classe Spectra exploitent les failles dans les interfaces entre les cœurs sans fil dans lesquels un cœur peut obtenir un déni de service (DoS), la divulgation d'informations et même l'exécution de code sur un autre cœur. Le raisonnement ici est, du point de vue de l'attaquant, de tirer parti d'une exécution de code à distance (RCE) d'un sous-système Bluetooth pour effectuer WiFi RCE et peut-être même LTE RCE. Gardez à l'esprit que cette exécution de code à distance se produit dans ces sous-systèmes du cœur du processeur et peut donc être complètement invisible pour le processeur et le système d'exploitation du périphérique principal.

Rejoignez-moi ci-dessous où la discussion est intégrée et où je vais également approfondir les sujets de déni de service, de divulgation d'informations et d'exécution de code de l'attaque Spectra.

Déni de service

Cela se produit lorsqu'un cœur sans fil refuse la transmission vers l'autre cœur. Les attaques DoS sont possibles si un cœur est en mesure de réclamer les ressources de spectre de l'autre cœur. Comme c'est le principe de fonctionnement de base de toute interface de coexistence, tous sont vulnérables par définition, tant qu'un noyau continue de réclamer constamment la ressource pour lui-même. D'autres opportunités DoS proviennent du fait qu'un cœur sans fil peut en planter un autre via un abus de RAM partagé.

Divulgation d'information

Un cœur sans fil peut déduire des données ou des actions de l'autre cœur. Un exemple est lors de la connexion d'un périphérique HID comme un clavier. Les horaires et le contenu des pressions sur les touches peuvent être observés sur l'hôte qui reçoit ces frappes. Cependant, un attaquant qui n'a que l'exécution de code sur une puce WiFi ne devrait pas être en mesure de faire de telles observations. Bien que le contenu des pressions sur les touches manque, il est possible pour le code exécuté sur la puce WiFi de déduire des statistiques de synchronisation sur les touches enfoncées du côté Bluetooth. Cela devient intéressant pour déduire les mots de passe et la longueur des mots de passe.

Exécution de code

Un cœur sans fil peut exécuter du code dans l'autre cœur. Les chercheurs en sécurité démontrent qu'il est possible d'exécuter une adresse WiFi arbitraire avec des contenus contrôlés via Bluetooth. Cela se produit car lorsque les deux cœurs sont en cours d'exécution, ils partagent une région RAM qui contient, entre autres informations, une grande table de fonctions. En écrasant une adresse spécifique, il est possible de contrôler le compteur du programme central WiFi. Cela signifie qu'un exploit de sous-système Bluetooth peut se transformer en exploit WiFi. De plus, l'écriture dans la mémoire tampon WiFi et les adresses d'exécution produisent diverses paniques du noyau sur Android et iOS, indiquant que de nouvelles escalades vers l'hôte sont possibles et que ce n'est probablement qu'une question de temps avant que quelqu'un n'apparaisse.

Conclusion

Bien que la recherche ait été centrée sur les puces combo Broadcom et Cypress (qui couvrent, soit dit en passant, tous les iPhones, MacBooks, iMacs, les anciennes montres Apple, les séries Samsung S et Note, certains Google Nexus, Raspberry Pi, etc.), des avis ont été envoyés à Intel, MediaTek, Qualcomm, Texas Instruments, Marvell, NXP et ils mentionnent tous des interfaces de coexistence similaires dans leurs appareils. Donc, mutatis mutandis, et en raison de sa nature même, certaines vulnérabilités de classe Spectra existent probablement aussi chez d'autres fournisseurs.

Et comme (Jiska) a une histoire révolutionnaire dans le domaine du sans fil, nous pouvons probablement nous attendre à un suivi de cette recherche et de cette classe de vulnérabilités d'escalade de privilèges entre puces. Je ne peux pas attendre!

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici