0
0
Pesquisadores divulgaram o ataque ‘WarezTheRemote’, afetando o controle remoto de voz XR11 da Comcast.
Uma falha de segurança que permite que os atacantes bisbilhotem remotamente as conversas privadas das vítimas foi encontrada a partir de um dispositivo inesperado – seus controles remotos de TV.
A falha vem do XR11 da Comcast, um controle remoto popular ativado por voz para TV a cabo, que tem mais de 18 milhões de unidades implantadas em todo os EUA. O controle remoto permite que os usuários digam o canal ou conteúdo que desejam assistir em vez de digitar o número do canal ou digitar para pesquisar.
No entanto, os pesquisadores encontraram uma vulnerabilidade grave no controle remoto, permitindo que os invasores a assumissem (detalhes abaixo). Pior, o ataque seguinte, apelidado de WarezTheRemote, não requer qualquer interação da vítima — é extremamente barato de realizar (um hacker precisa apenas de um transceptor rf e antena de baixo preço), e pode ser lançado remotamente (a partir de até 65 pés de distância).
Pesquisadores trabalharam com a equipe de segurança da Comcast depois de encontrar as falhas e correções que remediam os problemas que tornam o ataque possível – no entanto, em um post de divulgação na quarta-feira, eles enfatizaram que o incidente é um lembrete importante dos problemas inerentes à segurança e privacidade que assolam até mesmo os dispositivos de internet das coisas menos suspeitas (IoT).
“Poucas pessoas pensam em seus controles remotos de televisão como ‘dispositivos conectados’, menos ainda imaginariam que podem ser vulneráveis a atacantes, e quase ninguém imaginaria que eles podem comprometer sua privacidade”, disseram pesquisadores da Guardicore, em um post de quarta-feira. “Neste caso, o recente desenvolvimento da comunicação baseada em RF e controle de voz torna essa ameaça real. Ainda mais nestes tempos estranhos: Com tantos de nós trabalhando em casa, um dispositivo de gravação em casa é um meio crível para bisbilhotar segredos comerciais e informações confidenciais.”
A Falha
Ao fazer uma engenharia reversa extensiva, tanto o firmware do controle remoto quanto o software com o que ele se comunica na set-top box, os pesquisadores encontraram um erro na maneira como o controle remoto lida com pacotes rf recebidos.
Para entender a falha, primeiro é importante ver como os controles remotos de voz XR11 funcionam. O controle remoto se comunica com a caixa de televisão ao longo do protocolo RF4CE (Radio Frequency for Consumer Electronics). O RF4CE, que é um subconjunto da família Zigbee de protocolos RF que economizam energia, tem um recurso chamado, diretamente, de “segurança” — que deve criptografar o conteúdo de pacotes RF4CE para impedir que os invasores injetem pacotes maliciosos na conexão.
No entanto, na implementação do XR11, o recurso de “segurança” RF4CE é definido em uma base pacote por pacote. Cada pacote tem um byte “bandeiras” e quando um de seus bits é definido como 1, seu conteúdo será criptografado – e se o bit não for definido, o pacote será enviado em texto simples.
A vulnerabilidade está no fato de que o firmware XR11 original não verificou que as respostas a solicitações criptografadas também são criptografadas, disseram os pesquisadores. Isso significa que um invasor dentro do alcance de RF (cerca de 65 pés de distância) poderia visualizar solicitações do controle remoto em plaintext – permitindo que eles formulassem facilmente uma resposta maliciosa a essa solicitação.
“WarezTheRemote usou um ataque homem no meio para explorar a comunicação RF do controle remoto com a caixa de set-top e atualizações de firmware over-the-air – empurrando uma imagem de firmware maliciosa de volta ao controle remoto, os atacantes poderiam ter usado o controle remoto para gravar áudio continuamente sem interação do usuário”, disseram eles.
O Ataque
Os pesquisadores dizem que o firmware do controle remoto consulta a caixa com a qual está emparelhado – seja padrão – para um novo firmware uma vez a cada 24 horas. Isso significa que em um ataque na vida real, um ator ruim precisaria esperar que a consulta de upgrade de firmware ocorresse.
“O pacote de solicitação é criptografado, então um invasor não pode realmente ler seu conteúdo, mas há um byte não criptografado no cabeçalho do pacote que indica que essa solicitação está relacionada ao firmware, o que permite que o ataque adivinhe seu conteúdo sem realmente descriptografá-lo”, disseram eles.
Após essa troca inicial, o controle remoto envia uma série de solicitações pedindo o conteúdo da imagem do firmware, pedaço por pedaço. A ordem em que esses pedidos de pedaços são enviados é totalmente previsível – o que significa que os atacantes podem facilmente adivinhar qual parte do firmware o controle remoto está pedindo.
“Ao cronometrar cuidadosamente nossas respostas, fomos capazes de enviar exatamente o pedaço de firmware certo para o controle remoto cada vez”, disseram eles. “Além disso, encontramos uma maneira de travar temporariamente o software em execução na caixa de cabo usando um pacote RF4CE malformado. Este Simples DoS impediu que a caixa interferisse ao longo do ataque.”
Os pesquisadores disseram que um invasor só precisaria de um transceptor rf básico, que é barato – um Texas Instruments CC2531 custa apenas alguns dólares para um kit de desenvolvimento inteiro – bem como uma antena 2 dBi barata (os pesquisadores usaram uma antena 16dBi para melhores resultados).
“Não chegamos ao limite, mas fomos facilmente capazes de empurrar o firmware para o controle remoto a cerca de 65 metros de distância do lado de fora do apartamento em que estava”, disseram eles. “Esta é a parte alarmante – ela conjura a famosa cena de ‘van estacionada do lado de fora’ em todos os filmes de espionagem na memória recente.”
Pesquisadores divulgaram a vulnerabilidade à Comcast em 21 de abril, e a Comcast começou a liberar um patch em 24 de julho. Em 24 de setembro, a Comcast confirmou que todos os dispositivos foram corrigidos.
“Nada é mais importante do que manter nossos clientes seguros e seguros, e agradecemos à Guardicore por trazer essa questão à nossa atenção”, disse a Comcast em comunicado à imprensa. “Conforme detalhado neste relatório, corrigimos este problema para todos os controles remotos de voz Xfinity X1 afetados, o que significa que o problema descrito aqui foi abordado e o ataque que o explora não é possível.”
FONTE: THREATPOST