Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip

Googles Project Zero zeigt, wie man ein Smartphone per WLAN übernehmen kann. WLAN-Chips haben heute eigene Betriebssysteme, denen jedoch alle modernen Sicherheitsmechanismen fehlen.

Artikel von Hanno Böck veröffentlicht am
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken.
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons/CC-BY 3.0)

Ein Smartphone übernehmen, indem man lediglich aus der Umgebung Funksignale an den WLAN-Chip sendet - das Szenario ist durchaus realistisch. Gal Beniamini von Googles Project Zero ist es gelungen, mehrere Sicherheitslücken in der Firmware von Broadcom-Chips zu finden und auszunutzen. Diese Chips kommen in vielen modernen Smartphones zum Einsatz, beispielsweise in Googles eigenen Nexus-Geräten (5, 6, 6P), in Samsung-Smartphones (S6 Edge, S7 Edge, S7) und in allen aktuellen iPhones ab dem iPhone 4. Von Google und Apple gibt es Updates.

Inhalt:
  1. Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip
  2. WLAN-Chips sind Minicomputer ohne Schutzmechanismen

In modernen Systemen und auch in Smartphones befinden sich heute viele Bauteile, die eigene Minicomputer sind. Bei den Broadcom-WLAN-Chips handelt es sich um sogenannte Fullmac-Chips. Ein Großteil der Logik, die zum Aufbau einer WLAN-Verbindung notwendig ist, ist dabei Teil der Firmware, die auf einem eigenen Prozessor läuft. In den untersuchten WLAN-Chips von Broadcom läuft ein Cortex-R4-Prozessor von ARM.

Der Google-Forscher musste zunächst einige Hürden überwinden, um überhaupt in der Lage zu sein, den auf den Chips laufenden Code zu analysieren. Die Firmware steht nur als Binary zur Verfügung und auf dem Chip selber laufen keine Debugger oder Ähnliches. Hilfreich war jedoch, dass es zu einigen älteren Broadcom-Chips mit ähnlicher Funktionsweise inzwischen detaillierte Datenblätter gibt. Weiterhin stellt Broadcom selbst ein kleines Tools bereit, mit dem man mit dem Treiber direkt interagieren kann.

Buffer Overflows ermöglichen Codeausführung

Insgesamt vier Buffer Overflows entdeckte Beniamini im Firmware-Code. Zwei Stack Overflows betrafen Code für spezielle Roaming-Features: Fast BBS Transition und CCKM. Allerdings sind diese Features auf vielen Chips deaktiviert. Sie waren auf sämtlichen untersuchten Nexus-Geräten nicht vorhanden. Daher konzentrierte sich Beniamini auf die anderen Lücken.

Zwei Heap Overflows fanden sich im Code des TDLS-Protokolls. Dieses Protokoll ermöglicht es, dass Geräte in einem WLAN-Netzwerk unter Umgehung des Access Points direkt miteinander Daten austauschen. Das ist beispielsweise für lokale Streaminganwendungen sinnvoll, da die Datenrate des Access Points hier zum Flaschenhals werden könnte. Anders als die eher exotischen Roaming-Features war TDLS auf allen untersuchten Geräten verfügbar.

Bei den Fehlern handelt es sich um sehr typische Buffer Overflows: Bei einer Kopie von Speicherbereichen wird schlicht ein Längenfeld aus den TDLS-Paketen nicht korrekt geprüft. Code für TDLS befindet sich auch in wpa_supplicant, einem Tool, um unter Linux Verbindungen mit verschlüsselten WLAN-Netzen aufzubauen. Durch einige Patches, sowohl für wpa_supplicant als auch für den WLAN-Code im Linux-Kernel, gelang es Beniamini, mittels manipulierter TDLS-Pakete Code auf dem Chip auszuführen. Der Exploit ist dabei relativ komplex, im Blogpost von Project Zero sind die Details beschrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
WLAN-Chips sind Minicomputer ohne Schutzmechanismen 
  1. 1
  2. 2
  3.  


thomaz 11. Jul 2017

Nicht schlecht. Jedes ältere iPhone einfach so hacken? Wieso berichtet die Taggesschau...

M.P. 10. Apr 2017

HF-Dichtes Metallgehäuse drum sollte es auch tun ...

tcm-marcel 06. Apr 2017

Eine Alternative ist z.B. der L4-Microkernel, von dem es sogar beweisbar sichere...

tbol.inq 06. Apr 2017

Wenn man nicht jedes Jahr ein neues Smartphone herausbringen würde (oder mehr), dann...



Aktuell auf der Startseite von Golem.de
Suchmaschine
Bing mit ChatGPT war für kurze Zeit online

Microsoft will ChatGPT in die Suchmaschine Bing einbauen. Was uns erwartet, konnten einige Nutzer kurzfristig sehen.

Suchmaschine: Bing mit ChatGPT war für kurze Zeit online
Artikel
  1. Politische Ansichten auf Google Drive: Letzte Generation mit Datenschutz-Super-GAU
    Politische Ansichten auf Google Drive
    Letzte Generation mit Datenschutz-Super-GAU

    Die Aktivisten der Letzten Generation haben Daten von Unterstützern mitsamt politischer Meinung und Gefängnisbereitschaft ungeschützt auf Google Drive gelagert.

  2. Madison Square Garden: Gesichtserkennungs-Software weist unliebsame Besucher ab
    Madison Square Garden
    Gesichtserkennungs-Software weist unliebsame Besucher ab

    Im New Yorker Madison Square Garden kommt seit Jahren Gesichtserkennungs-Software zum Einsatz - mit unangenehmen Folgen für Kanzleimitarbeiter.

  3. Nach Prämiensenkung: Weniger Marktanteil für Elektroautos 2023 erwartet
    Nach Prämiensenkung
    Weniger Marktanteil für Elektroautos 2023 erwartet

    Die Förderprämien für Elektroautos wurden gesenkt, was nach Ansicht der Autohersteller zu einem Rückgang des Marktanteils führen wird.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Roccat Magma + Burst Pro 59€ • Roccat Vulcan 121 89,99€ • Gigabyte B650 Gaming X AX 185,99€ • Alternate: Toshiba MG10 20 TB 299€ • Alternate Weekend Sale • MindStar: Fastro MS200 SSD 2TB 95€ • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • RAM-Tiefstpreise • PCGH Cyber Week [Werbung]
    •  /