SWEYNTOOTH機構最近發佈一篇報告,該報告指出,針對BLE SOC芯片的SDK進行測試發現,攻擊者可以根據情況觸發BLE SOC芯片協議棧死鎖,崩潰,緩衝區溢出,或者完全繞過安全性。根據原廠的授權,截止到今天為止,TI,NXP,Cypress,Dialog,ST和Telink半導體已全部在列,但絕非所有SoC供應商列表都受SWEYNTOOTH影響,我們一起來看一下。
1.漏洞類型
崩潰:此類漏洞可以通過故意觸發硬故障中斷使設備軟件崩潰。這是由於SDK框架中某些不正確的代碼行為或存儲器溢出而造成,比如BLE接收緩衝區發生緩衝區溢出。崩潰發生時,軟件通常會進行重新啟動。但是,這種重啟功能取決於BLE SoC的協議棧中是否考慮硬故障處理機制。
死鎖:死鎖是會影響BLE連接,不會引起硬故障或內存損壞的漏洞。通常,它們是由於用戶APP代碼與SoC SDK固件之間的某些不正確同步造成用戶代碼陷於某個死鎖等待狀態。如果正確不當,則可能會導致死鎖。在大多數情況下,當發生死鎖時,用戶手動關閉設備電源並重新打開設備電源以重新建立正確的BLE通信。
•配對安全:此漏洞是最嚴重的漏洞。該漏洞允許無攻擊者設備繞過BLE的最新安全配對模式。繞過後,攻擊者可以對設備功能進行任意讀取或寫入訪問。而這些功能原來只能由正確交換密鑰的授權用戶訪問。
目前各大原廠已經公開發布各自的補丁修改問題。 部分終端產品也因該問題被陸續曝光,包括知名手環廠商FITBIT,北美智能鎖製造商August等,但是隻要產品支持BLE OTA升級功能,受影響的BLE SoC可通過軟件升級方式更新原廠固件。
2.高風險設備
可穿戴設備:Fitbit Inspire FitBit 2018年最新智能手錶使用賽普拉斯PSoC 6作為主處理器。通過測試,它們容易受到鏈路層溢出和LLID死鎖的影響,為了驗證利用這兩個問題時可穿戴設備會發生什麼,我們已通過BLE主設備將惡意數據包發送到Fitbit Inspire智能手錶,惡意數據包發送到設備後,有可能觸發設備內存中的緩衝區溢出或使藍牙堆棧死鎖。前者的攻擊(利用鏈路層溢出)可立即重啟設備,而後者的攻擊(利用LLID死鎖)可禁用藍牙廣告約27秒鐘,然後使智能手錶重啟。
總而言之,這些漏洞似乎只是暫時阻止了Fitbit手錶的可用性。但是,鏈路層長度溢出本身就是一個威脅。特別是,一旦攻擊者通過對固件進行反向工程來了解固件的內存佈局,這種溢出就可能成為遠程執行的潛在大門。在Fitbit Charge 3和Ace 2中預也會遇到同樣問題(賽普拉斯PSoC 6處理器)。
智能家居:Eve Systems的許多智能家居產品由於依賴Dialog DA14680作為主處理器。例如,Eve電燈開關,Eve Motion MKII,Eve Aqua,Eve Thermo MKII,Eve Room,Eve Lock等都容易出現溢出攻擊。具體來說,有可能通過發送溢出設備接收緩衝區的特定數據包來使此類設備崩潰。當發生攻擊時,用戶可以立即體驗其智能產品重新啟動或變得不穩定。例如,對Eve Energy進行溢出攻擊,當智能插頭的處理器崩潰並重新啟動時,智能插頭上的電源就會切斷。因此,我們只需在智能插座的藍牙接收範圍內發送惡意數據包,就可以暫時切斷與插座電源。此外,攻擊者可以使用這種簡單的攻擊,通過間斷地切斷其電源,對連接到插頭的某些設備造成物理損害。
智能鎖:TheeGeeTouch是一種智能行李箱鎖,可以通過手機APP進行遠程鎖定或解鎖。該設備使用TI CC2540 SoC,在漏洞測試過程中,利用“無效連接請求”漏洞能將智能鎖置於死鎖狀態。進行攻擊時,設備會掛起,用戶需要手動按下智能鎖上的開機按鈕才能與其進行交互,最嚴重的時,必須重新插入其電池以重新啟動其處理器並使功能恢復正常。
儘管很難確定存在漏洞風險的產品數量,但我們從SIG聯盟的藍牙認證清單上搜索到多款可能受影響的產品類型。下圖記錄了截至2020年2月8日使用受影響的產品列表總數。
物流,醫療,消費電子,智能家居,可穿戴設備和其他領域的產品也應該高度重視,我們概述了一些在SIG Bluetooth Listing上認證過的產品。
生產血糖儀的VivaCheck Lab有很多產品都使用來DA14580。這些產品都可能容易受到L2CAP惡意數據攻擊。更糟糕的是,Medtronic最新的起搏器相關的產品可能也會受到影響,為了避免使用任何可能對使用相應醫療產品的患者造成生命危險的情況,強烈建議此類公司更新固件。
另外恩智浦半導體的SoC KW41Z 電池供電自動包裹儲物櫃,KW41Z LLID死鎖漏洞非常容易復現,攻擊者可以簡單地阻止任何人連接到包裹儲物櫃(除非包裹儲物櫃自動重啟)。恩智浦已經發布了影響KW41Z的兩個漏洞的補丁程序。
上表並不詳盡,因此建議每個產品供應商將其產品的SDK固件更新到最新(如果有),或者聯繫其SoC供應商以查詢補丁狀態。
大多數芯片廠家已為其SoC發佈了補丁包,通過下載下表中引用的供應商的最新SDK,即可獲得最新補丁。另一方面,每個SoC供應商都獨立聯繫產品供應商(使用受影響的SoC),以告知有關安全補丁的信息 。
在我們與Dialog聯繫期間,他們已經確認計劃在下一個SDK版本中為受影響的SoC修補一個補丁。
3.深入調查
近年來,由於一些安全機制的考慮不周(例如KNOB,BlueBorne 和Invalid ECC Attack)藍牙連接一直會受到不同程度攻擊。每個SoC BLE SDK都必須先經過藍牙認證,然後才能投放市場。但我們的發現表明,認證過程應該進行改進。我們按照Core Specification規範測試藍牙SoC,往往會上收到了截然不同的響應,說明藍牙芯片供應商並未嚴格遵循協議規範。比如,Telink的設備多次響應版本請求,這違反了核心規範[13]的[Vol 6] B部分第5.1.5節,該部分定義了外圍設備在同一中央處理器中應僅響應一次版本請求。同樣,我們測試過的所有設備都可以接受“ hopIncrement”字段值小於5的連接請求,此行為違反了[Vol 6] B部分第2.3.3.1節的規定,該部分規定該字段的有效範圍在5-16。此外,我們發現的所有漏洞都與[Vol 1] E部分的2.7節(對格式錯誤的響應)相關,該部分的說明其實已經提供了指令和一些示例來處理無效或格式錯誤的數據包。希望藍牙SIG改進並顯著擴展第2.7節,並向藍牙認證中添加更多基本測試,以避免以上漏洞。
4.附錄:藍牙連接全過程
本文來源無線技術聯盟,如有侵權聯繫刪除。
閱讀更多 雲裡物里科技 的文章
