Abo
  • Services:
Anzeige
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken.
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons/CC-BY 3.0)

Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip

Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken.
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons/CC-BY 3.0)

Googles Project Zero zeigt, wie man ein Smartphone per WLAN übernehmen kann. WLAN-Chips haben heute eigene Betriebssysteme, denen jedoch alle modernen Sicherheitsmechanismen fehlen.
Von Hanno Böck

Ein Smartphone übernehmen, indem man lediglich aus der Umgebung Funksignale an den WLAN-Chip sendet - das Szenario ist durchaus realistisch. Gal Beniamini von Googles Project Zero ist es gelungen, mehrere Sicherheitslücken in der Firmware von Broadcom-Chips zu finden und auszunutzen. Diese Chips kommen in vielen modernen Smartphones zum Einsatz, beispielsweise in Googles eigenen Nexus-Geräten (5, 6, 6P), in Samsung-Smartphones (S6 Edge, S7 Edge, S7) und in allen aktuellen iPhones ab dem iPhone 4. Von Google und Apple gibt es Updates.

Anzeige

In modernen Systemen und auch in Smartphones befinden sich heute viele Bauteile, die eigene Minicomputer sind. Bei den Broadcom-WLAN-Chips handelt es sich um sogenannte Fullmac-Chips. Ein Großteil der Logik, die zum Aufbau einer WLAN-Verbindung notwendig ist, ist dabei Teil der Firmware, die auf einem eigenen Prozessor läuft. In den untersuchten WLAN-Chips von Broadcom läuft ein Cortex-R4-Prozessor von ARM.

Der Google-Forscher musste zunächst einige Hürden überwinden, um überhaupt in der Lage zu sein, den auf den Chips laufenden Code zu analysieren. Die Firmware steht nur als Binary zur Verfügung und auf dem Chip selber laufen keine Debugger oder Ähnliches. Hilfreich war jedoch, dass es zu einigen älteren Broadcom-Chips mit ähnlicher Funktionsweise inzwischen detaillierte Datenblätter gibt. Weiterhin stellt Broadcom selbst ein kleines Tools bereit, mit dem man mit dem Treiber direkt interagieren kann.

Buffer Overflows ermöglichen Codeausführung

Insgesamt vier Buffer Overflows entdeckte Beniamini im Firmware-Code. Zwei Stack Overflows betrafen Code für spezielle Roaming-Features: Fast BBS Transition und CCKM. Allerdings sind diese Features auf vielen Chips deaktiviert. Sie waren auf sämtlichen untersuchten Nexus-Geräten nicht vorhanden. Daher konzentrierte sich Beniamini auf die anderen Lücken.

Zwei Heap Overflows fanden sich im Code des TDLS-Protokolls. Dieses Protokoll ermöglicht es, dass Geräte in einem WLAN-Netzwerk unter Umgehung des Access Points direkt miteinander Daten austauschen. Das ist beispielsweise für lokale Streaminganwendungen sinnvoll, da die Datenrate des Access Points hier zum Flaschenhals werden könnte. Anders als die eher exotischen Roaming-Features war TDLS auf allen untersuchten Geräten verfügbar.

Bei den Fehlern handelt es sich um sehr typische Buffer Overflows: Bei einer Kopie von Speicherbereichen wird schlicht ein Längenfeld aus den TDLS-Paketen nicht korrekt geprüft. Code für TDLS befindet sich auch in wpa_supplicant, einem Tool, um unter Linux Verbindungen mit verschlüsselten WLAN-Netzen aufzubauen. Durch einige Patches, sowohl für wpa_supplicant als auch für den WLAN-Code im Linux-Kernel, gelang es Beniamini, mittels manipulierter TDLS-Pakete Code auf dem Chip auszuführen. Der Exploit ist dabei relativ komplex, im Blogpost von Project Zero sind die Details beschrieben.

WLAN-Chips sind Minicomputer ohne Schutzmechanismen 

eye home zur Startseite
thomaz 11. Jul 2017

Nicht schlecht. Jedes ältere iPhone einfach so hacken? Wieso berichtet die Taggesschau...

M.P. 10. Apr 2017

HF-Dichtes Metallgehäuse drum sollte es auch tun ...

tcm-marcel 06. Apr 2017

Eine Alternative ist z.B. der L4-Microkernel, von dem es sogar beweisbar sichere...

tbol.inq 06. Apr 2017

Wenn man nicht jedes Jahr ein neues Smartphone herausbringen würde (oder mehr), dann...

Vielfalt 05. Apr 2017

Thema verfehlt, 6!



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, München, Hamburg, Köln, Leipzig, Darmstadt, Berlin
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. CGM Deutschland AG, Hannover
  4. Consultix GmbH, Bremen


Anzeige
Top-Angebote
  1. (u. a. Rayman Legends 8,99€, Rayman Origins 4,99€ und Syberia 3 14,80€)
  2. 199,90€ + 5,99€ Versand (Vergleichspreis ca. 235€)

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Nutzen von ECC?

    tha_specializt | 22:37

  2. Re: Der Preis war schon damals ok

    Topf | 22:36

  3. Re: 190.000 Euro sollen an den TÜV für eine...

    User_x | 22:28

  4. Re: gäbe es sowas im vodafone kabelnetz

    MAGA | 22:23

  5. Re: Der Preis ist bei UM auch möglich

    MAGA | 22:23


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel