Embedded Controller: Blinkende Backdoor für Thinkpads

Notebooks lassen sich leicht mit schwer erkennbaren Backdoors bestücken, das hat Ralf-Philipp Weinmann von der Universität Luxemburg herausgefunden. Die Arbeit erledigt dabei ein Embedded Controller, wie er in fast allen Notebooks zu finden ist. Der Embedded Controller ist unter anderem für die Lüftersteuerung, die Tastaturbeleuchtung, die Hotkeys und die Hintergrundbeleuchtung des Displays zuständig. Gerade bei den Hotkeys, also beispielsweise die Tastenkombination für die Aktivierung des VGA-Ausgangs, zeigt sich, dass solche Controller auch Tastatureingaben abfangen können. Bei Apples Macs funktioniert diese Art des Angriffs nicht, dort muss der SMC (System Management Controller) angegriffen werden, was eine andere Vorgehensweise erfordert.

Als erstes Ziel hat sich Weinmann ein Thinkpad ausgesucht, da er selbst so ein Notebook besitzt. Der Angriff soll aber prinzipiell auch bei anderen Notebooks funktionieren, die einen Embedded Controller verwenden. Es handelt sich meist um alte, aber verbesserte Keyboard-Controller, meist basierend auf dem 8051(öffnet im neuen Fenster) . Den Angriff möglich macht der Umstand, dass per BIOS-Update auch für den Embedded Controller Updates in das Notebook eingespielt werden können.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Barrierefreiheit – BFSG, WCAG & Co: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: E-Mail Marketing Grundkurs für Selbstständige und Einsteiger (E-Learning)

zum Kurs

Beim Thinkpad half der sehr gute Zustand der Dokumentation des Hitachi-H8S-Controllers. Schon andere haben sich dessen angenommen, aber nicht aus Sicherheitsgründen. Es waren nervige Fehler in Thinkpads, die dazu führten. So wurde mit kleinen Hacks verhindert, dass sich der Lüfter unter Linux unnötig viel bewegte, und das Vertauschen der Fn- mit der Strg-Taste ist ebenfalls ein Grund für die ausführliche Dokumentation des H8S. Informationen finden sich in einer Readme-Datei(öffnet im neuen Fenster) sowie in einem 7-Zip-Archiv(öffnet im neuen Fenster)

Genug Platz für ein Tagestippwerk

Rund 20.000 Zeichen lassen sich dank Kompression mit der experimentellen Backdoor speichern, die Weinmann aber nicht veröffentlichen wird. Ein Problem ist allerdings, die Daten wieder aus dem System zu extrahieren. Das geschieht drahtlos und wie auch schon beim Aufzeichnen ohne Hilfe des Hauptsystems. Eine Option wäre die Manipulation der Lüftersteuerung. Weinmann warnt allerdings davor, da dann unter Umständen ein neuer Lüfter fällig wird. Beim Testen ist ihm in seinem Thinkpad der Lüfter kaputtgegangen. Eine prinzipielle timergesteuerte Manipulation des Lüfters hat Weinmann dem Publikum demonstriert. Eleganter und länger anhaltend wäre die Nutzung des Thinklights: Die Tastaturbeleuchtung im Displaydeckel des Notebooks sendet entsprechende Signale aus. Auch das zeigte Weinmann erfolgreich, allerdings setzt dies eine Sichtverbindung voraus. Selbst im Vortragssaal konnten nicht alle Zuschauer die Signale sehen. Da nutzte auch eine Verlangsamung des Blinkens um den Faktor 10 nichts.

Ganz ohne Sichtverbindung und bei einer Reichweite von etwa 50 Metern kommt der Missbrauch des Kabels für die Energieversorgung des Thinklights aus. Das Kabel dient dann nämlich einfach als Antenne. Der 10-MHz-Prozessor ist auf jeden Fall schnell genug, um die Datenrate über die Lichtantenne auszusenden. Wände sollten allerdings nicht im Weg sein, sagte Weinmann.

Das Besondere am Embedded Controller: Dieser funktioniert in der Regel, solange es eine Stromversorgung gibt, auch wenn das Notebook ausgeschaltet ist.

Maßnahmen gegen eine Controller-Backdoor

Eine installierte Backdoor dieser Art könnte beim Knacken von verschlüsselten Daten auf der Festplatte behilflich sein. Das wäre ein sehr spezieller Angriff. Weinmann hat allerdings noch nicht ausprobiert, ob ein BIOS-Passwort grundsätzlich vor einem Angriff schützt. Mit der Demonstration geht es Weinmann in erster Linie darum, ein Bewusstsein zu schaffen und die Hersteller von Hardware dazu zu bewegen, diese auch abzusichern. Ihm schwebt dabei das Bereitstellen von Prüfsummen und das Signieren von Firmwareupdates vor. So würden solche Angriffe erheblich erschwert.

Thinkpad-Nutzern empfiehlt Weinmann das Deaktivieren von BIOS-Updates per LAN. Er schränkt zwar ein, dass es seinem Wissen nach nur während des Systemstarts möglich ist, ein neues BIOS einzuspielen, die Experimente sind allerdings noch nicht abgeschlossen.

Dass es überhaupt so weit kommen konnte, liegt daran, dass der Embedded Controller nicht mit ROM, sondern mit Flashspeicher arbeitet, der sich entsprechend manipulieren lässt. Flashspeicher ist billiger als ROM-Bausteine, so Weinmann.

Weitere Informationen sollen gesammelt werden

Weinmann hat für die Problematik eine Webseite eingerichtet(öffnet im neuen Fenster) . Dort ist bisher noch nicht viel zu finden. In der Zukunft sollen sich dort weitere Informationen zu Embedded Controllern in verschiedenen Endgeräten finden und die Möglichkeit, für Besitzer betroffener Systeme Fingerabdrücke der Firmware zu erhalten und einzustellen, so dass sich der Anwender sicher sein kann, dass in seinem Notebook alles mit rechten Dingen zugeht.

Eine Backdoor dieser Art soll nur schwer zu entdecken sein. Weinmann braucht auf der 10-MHz-CPU nur 120 Zyklen ohne Optimierung, was vermutlich noch innerhalb der Messtoleranzen ist. Er glaubt nicht, dass die erzeugten Verzögerungen bemerkbar sind.

• Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon