Mentionsy

Na minionym Chaos Computer Club jedną z najciekawszych prezentacji, o której zresztą wspominałem w moim krótkim wideo z tylnej kanapy samochodu, była ta o hakowaniu słuchawek Bluetooth.

Temat ten zaczyna żyć w sieci, więc postanowiłem opowiedzieć o tym nieco więcej, bo okazuje się, że można wydawać polecenia czyjejś Siri, przejąć cudze konto na Amazonie, a nawet puścić komuś głośno Taylor Swift i to w towarzystwie.

Czy właśnie dlatego w Danii, kraju, którym przecież rządził on dziś król Harold Bluetooth, wywiad zakazuje służbom korzystania z bezprzewodowych słuchawek?

No dobra, może nie zawsze, ale często przynajmniej w kwestii bezpieczeństwa, bo wygody odmówić mu nie można.

W Hamburgu argument w tej sprawie zaprezentowali Frieder Steinmetz oraz Dennis Heinze, badacze bezpieczeństwa z niemieckiej firmy ERNW.

Pokazali na żywo, na scenie, jak przejąć pełną kontrolę nad słuchawkami oraz innymi urządzeniami audio Bluetooth wyposażonymi w kontrolery firmy Eirocha oraz jak daleko indące może to mieć konsekwencje.

Chipy Eirochy siedzą w wielu sprzętach, wszystkich segmentów, przeróżnych marek.

Sony, Beyerdynamic, JBL, Marshall, Jabra, Bose czy tanich podróbkach AirPodsów.

Tu od razu wyraźne wykluczenie.

Nie każdy model słuchawek wskazanych producentów zawiera chipy Eirochy.

Producenci korzystają z różnych dostawców.

Protokół bezprzewodowy, z którego korzystają w komunikacji urządzenia z Aeroho na pokładzie, nazywa się RACE.

Działa on tak po klasycznym Bluetooth, jak i po Bluetooth Low Energy.

W skrócie BLE.

Pomiędzy tymi Bluetoothami, mimo podobnej nazwy, jest wiele różnic.

Dla nas dziś najważniejsze jest to, że urządzenia BLE nie mają osobno wywoływanego trybu parowania, a są widoczne cały czas, co z punktu widzenia prywatności nie jest zbyt dobrym rozwiązaniem, bo przecież mają one jakiś swój identyfikator.

Skanując w jego poszukiwaniu, można by na przykład śledzić użytkownika jakiejś opaski fitness czy słuchawek.

Dlatego BLE wprowadziło mechanizm randomizacji identyfikatora, którym urządzenie się przedstawia, aby temu przeciwdziałać.

Co w przypadku klasycznego Bluetootha jest zbędne, bo urządzenia te przedstawiają się identyfikatorem jedynie kiedy są w trybie parowania, więc nie trzeba robić takich fikołków.

Ale nie do końca, bo okazuje się, że wspomniany protokół RAISE w urządzeniach AROHA posiada pewną ciekawą funkcję.

Poprzez Bluetooth Low Energy, a przypominam, urządzenia takie widoczne są zawsze, można wysłać do słuchawek komendę, która w odpowiedzi zwróci unikalny identyfikator wykorzystywany przez klasyczny Bluetooth.

A to już pozwala zidentyfikować konkretne słuchawki w morzu innych urządzeń i tym samym na przykład śledzić ich właściciela.

Ale to dopiero początek, bo badacze zauważyli coś jeszcze.

Za każdym razem podczas testów, aby się za pierwszym razem połączyć, uruchamiali w słuchawkach tryb parowania.

W pewnym momencie...

Nie wiedzieć dlaczego?

Ktoś jednak poczuł jakiś dziwny zew i odkrył, że tryb parowania nie jest w ogóle potrzebny.

Każdy, kto jest w zasięgu Bluetooth, może połączyć się z takimi słuchawkami.

Może też wykorzystując protokół RAIS pobrać ich wewnętrzny firmware oraz czytać czy też zapisywać do ich pamięci podręcznej.

Na co to pozwala?

Ano na przykład umożliwia sprawdzanie, czego właśnie słucha ofiara takiego ataku.

Fajne, potencjalnie niebezpieczne, ale jednak ciekawostka o dość ograniczonym poziomie zagrożenia.

W tym miejscu ważny autopromocyjny komunikat.

Chcesz poszerzać swoją wiedzę?

Nauczyć się automatyzować nudne codzienne procesy?

W dodatku dbając przy tym o swoje bezpieczeństwo w sieci?

Zajrzyj na moją platformę edukacyjną ucznie.pl, gdzie w przystępny sposób przekazuję taką właśnie wiedzę.

A teraz wróćmy do atakowania słuchawek, bo co istotne, wszystko to dzieje się w tle.

Słuchasz sobie Taylor Swift, jak ich kolega na scenie w trakcie prezentacji, a ktoś za Twoimi plecami łączy się do Twoich słuchawek i widzi, co aktualnie odtwarzasz.

Na swoim telefonie czy komputerze nawet tego nie zauważysz.

Ano w zdecydowanej większości urządzeń transmisja danych audio, muzyki czy połączeń telefonicznych odbywa się z wykorzystaniem Bluetooth.

a badacze do tego ataku wykorzystują Bluetooth Low Energy, co jest niezależnym połączeniem i nie przerywa normalnej pracy urządzenia.

Ba, jest praktycznie niewidoczne dla końcowego użytkownika.

Sync w tym?

że to nie koniec, bo jak się okazuje, protokół RAIS jest dziurawy jak szwajcarski ser i scenariuszy ataków na niego jest więcej.

Znacznie więcej.

Jeżeli atakujący poświęci pozostawanie w ukryciu i zaakceptuje nieco więcej szumu wokół swoich działań, to jego możliwości znacznie rosną.

Może na przykład połączyć się do takich słuchawek i skorzystać z ich mikrofonu, aby podsłuchiwać, co dzieje się wokół nich.

Na przykład o czym rozmawia ich właściciel.

Owszem, gdyby przeprowadzić atak, gdy ten słucha sobie w najlepsze muzyki, to natychmiast by go rozłączyło i raczej dałoby mu to do myślenia, że coś działa nie tak, jak powinno.

Nie jest to przecież jakiś scenariusz z kategorii science fiction, a potencjalnie pozwala na bardzo szeroką inwigilację.

Nie kończy się ona jednak na samym podsłuchiwaniu.

W tym czasie ktoś łączy się do naszego telefonu dokładnie tak, jak nasze prywatne słuchawki i na przykład poznaje nasz numer telefonu, wydaje polecenia Siri czy asystentowi Google'a albo przejmuje nasze konto na Whatsappie.

Niemożliwe?

Bo badacze pokazali krok po kroku, jak przeprowadzić właśnie takie ataki.

Nasze telefony komunikują się ze słuchawkami, ale też choćby ze stawami głośnomówiącymi w samochodach za pomocą profilu handsfree.

Pozwala on m.in.

na inicjowanie czy odbieranie połączeń telefonicznych.

Aby coś jednak napsocić z jego wykorzystaniem, trzeba być połączonym już nie do słuchawek, a do telefonu, co jest zdecydowanie trudniejszym zadaniem.

Trzeba mieć przecież nie tylko identyfikator słuchawek, pod które się podszyje, choć to akurat nie jest problem, bo już ustaliliśmy, da się go łatwo zdobyć.

Potrzebny jest też identyfikator telefonu, a ten ujawniany jest jedynie w trybie parowania.

No i w końcu konieczna jest znajomość sekretu, klucza, którym szyfrowana jest komunikacja pomiędzy dwoma urządzeniami.

A taki sekret powinien przecież pozostać, cóż, sekretem, więc na pewno jest strzeżony w bardzo dobry sposób, prawda?

Prawda?

Jak się pewnie domyślacie, obie te brakujące rzeczy, sekret oraz identyfikator telefonu, można bez kłopotu wyciągnąć wprost ze słuchawek, do których nawiązaliśmy już połączenie.

Mając te dane, atakujący może udawać, że jest sparowanymi już wcześniej słuchawkami i wysyłać różne polecenia profilu Hensry do telefonu.

Na przykład porozmawia sobie z Siri czy asystentem Google, choć tu akurat bez odblokowania urządzenia nie zrobi zbyt wiele.

Może na przykład użyć go do przeprowadzenia próby zalogowania się do naszego Whatsappa na swoim telefonie.

Ano kod weryfikacyjny, konieczny przy logowaniu na nowym urządzeniu, może przecież być rozmową telefoniczną.

Jeśli atakujący jest połączony słuchawkami do naszego telefonu, to może taką rozmowę za nas odebrać.

Tak szybko, że my, czyli ofiara w tym scenariuszu, nawet nie zauważymy połączenia.

Ewuela?

Nasze konto WhatsAppowe wpada w jego ręce.

Okej, nie przejrzy historii rozmów, bo WhatsApp może i nie jest najlepszym komunikatorem na świecie, ale szyfrowanie end-to-end to akurat wspiera.

Na przykład spróbować zalogować się do Amazona naszym numerem telefonu, o ile oczywiście mamy tam konto.

Ano kod weryfikacyjny do logowania można przesłać WhatsAppem, nad którym kontrolę właśnie udało się w pełni przejąć.

W efekcie pozna nasz adres, pełne dane kontaktowe, a może nawet coś kupi za nasze ciężko zarobione pieniążki.

Obudzimy się bardzo szybko, gdy tylko zobaczymy całą masę przeróżnych powiadomień, to będzie już dawno musztarda po obiedzie.

Ogólnie kawał niesamowitej, pieczałowitej i bardzo ciekawej roboty Friedera i Denisa.

Szczególnie biorąc pod uwagę fakt, że pokazali na scenie wszystkie te interesujące scenariusze działających ataków.

na żywo.

Badacze oczywiście zachowali się odpowiedzialnie i zgłosili swoje odkrycia w pierwszej kolejności producentom sprzętu.

Co nie było wcale kaszką z mleczkiem, bo luki te znaleziono przecież na poziomie protokołu dostarczanego przez zewnętrznego dostawcę.

Trudno więc ustalić wszystkie urządzenia, w jakich te kontrolery są zainstalowane.

Jest ich pewnie setki, o ile nie tysiące modeli.

Szczególnie, że spora ich część to urządzenia produkowane masowo w jednej fabryce, a

a następnie sprzedawane pod przeróżnymi markami, czasem jedynie na konkretnych, lokalnych rynkach.

Dlatego badacze zwrócili się bezpośrednio do Ejrochy, która...

nie odpowiadała przez dwa miesiące.

Jak się okazało, chyba nikt nie odczytywał wskazanej do kontaktu w sprawach bezpieczeństwa skrzynki pocztowej.

Kiedy jednak wreszcie udało się nawiązać kontakt, to firma stanęła na wysokości zadania i w mgnieniu oka wprowadziła poprawki oraz była do pełnej dyspozycji badaczy.

Piłeczka wylądowała następnie w ogródeczkach firm, których loga widnieją na sprzedawanych konsumentom słuchawkach.

No i tu pojawiły się strome schody.

Owszem, część producentów wprowadziła już odpowiednie aktualizacje łatające te dziury, ale trwało to i trwało.

aktualizacji nie dostaną już pewnie nigdy.

Niemniej, badacze nie mogą zwlekać w nieskończoność, więc udostępnili gotowe narzędzia, którymi możecie przetestować, czy Wasze słuchawki, a tym samym telefony, są zagrożone.

Pozostałe słuchawki, takie bez Eirochy na pokładzie, są bezpieczne?

No nie, bo to nie jest jedyna odkryta ostatnio dziura pozwalająca na nadużycia w świecie bezprzewodowych słuchawek.

Inną lukę opisali niedawno badacze z Belgijskiego Uniwersytetu w Leuven, choć nie opublikowali jeszcze pełnego oficjalnego opracowania ze wszystkimi szczegółami.

Natomiast z poświęconego odkryciu serwisu dowiemy się już pewnych ogólników.

Kojarzycie ten komunikat pojawiający się na Waszym telefonie, gdy parujecie swoje nowe słuchawki zaraz po odpakowaniu ich z pudełka?

Taki z ładną grafiką naszej nowej błyszczącej zabawki?

Na iPhone'ie od dawien dawna.

Google pozazdrościło i od jakiegoś czasu pojawia się też na urządzeniach z Androidem.

Odpowiada za to mechanizm Google Fast Pair, pozwalając na sparowanie słuchawek z telefonem jednym kliknięciem oraz przypisanie ich do konta użytkownika.

Przyjemne i wygodne.

Okazuje się jednak, że czasem nieco zbyt wygodne.

Ogólnie powinno to działać tak, że telefon inicjuje parowanie, a akcesoria, w tym przypadku słuchawki, powinny wchodzić w tę procedurę jedynie będąc w trybie parowania.

No ale niektórzy producenci sprzętu pomijają ten krok, czego nadużyć mogą złośliwi atakujący, zmuszając je do sparowania ze swoim urządzeniem.

Pozwala to np.

kontrolować głośność czy podsłuchiwać coś wbudowanym w nie mikrofonem.

Cała procedura trwa jedynie kilka sekund i przeprowadzić ją można nawet z kilkunastu metrów.

Ale to nie wszystko.

W pewnych przypadkach pozwala to atakującemu przypisać je do swojego konta, a tym samym, jeżeli wspierają Google Find Hub, czyli taki androidowy odpowiednik Apple Find My, śledzić na żywo ich lokalizację, a tym samym osobę z nich korzystającą.

Owszem, są tu pewne obostrzenia, bo nie mogą one wcześniej być sparowane przez ofiarę, a ta dostanie w końcu na ten temat powiadomienie, więc to chyba mniej praktyczny atak.

Ale duński wywiad rzekomo ostrzega swoje służby i władzę, aby w związku z konfliktem ze Stanami Zjednoczonymi o Grenlandię nie korzystać z bezprzewodowych słuchawek.

Choć ciężko mi też potwierdzić tę informację, więc dla bezpieczeństwa potraktujmy ją jako zabawną anegdotę.

Aktualizuj oprogramowanie.

Nie zwlekaj.

I nie chodzi tu jedynie o system operacyjny, czy aplikacje w telefonie i na komputerze.

Pamiętaj też o przeróżnych gadżetach, których na co dzień używasz.

Niektórzy producenci, szczególnie ci mniej popularni, wypuszczają na rynek urządzenia, nie świadcząc potem do nich żadnego wsparcia.

Jasne, takie urządzenia mogą być tańsze w zakupie, jednak czasem warto nieco dopłacić, bo w dłuższej perspektywie otrzymujemy produkt, na którym możemy dłużej polegać.

Dlatego głosuj portfelem i wspieraj producentów dbających o swoich klientów, nie tylko jak sprzedawca w autokomisie w latach 90., gdzie gwarancja była do bramy, a dalej to się nie znamy.

Pamiętaj też, że jeśli bezpieczeństwo jest Twoim priorytetem, połączenie przewodem zawsze będzie bezpieczniejsze niż takie bezprzewodowe.

nasze telefony są bezpieczniejsze niż kiedykolwiek.

Nic dziwnego, to centrum naszego cyfrowego życia.

Ich atakowanie staje się coraz trudniejsze, a tym samym droższe i możliwe tylko dla dysponujących technologicznymi możliwościami na poziomie grup APT.

Stąd istnieje spora szansa, że inne ataki, na przykład właśnie na peryferia, staną się jeszcze bardziej popularne.

Kreatywnym atakującym mogą one dać podobne efekty, angażując ułamek środków.

Chcecie wiedzieć, w jaki sposób tak technicznie badaczom udało się odkryć tę lukę?

Jest już dostępne tak na YouTubie, jak i serwisach Chaos Computer Clubu.

Frida i Dennis tłumaczą krok po kroku, od czego zaczęli, jak dekompilowali firmware, dlaczego potrzebne były im apki do obsługi słuchawek każdego producenta, czy wreszcie...

jak całkowicie zmienił się z czasem cel ich badań.

Ma jakieś 50 stron i znajdziesz tam wiele, wiele więcej.

Linki do wszystkiego znajdziesz oczywiście w opisie.

I to już wszystko na dziś.

Tymczasem dziękuję za Waszą uwagę i do zobaczenia!