• IT-Karriere:
  • Services:

Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip

Googles Project Zero zeigt, wie man ein Smartphone per WLAN übernehmen kann. WLAN-Chips haben heute eigene Betriebssysteme, denen jedoch alle modernen Sicherheitsmechanismen fehlen.

Artikel von Hanno Böck veröffentlicht am
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken.
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons/CC-BY 3.0)

Ein Smartphone übernehmen, indem man lediglich aus der Umgebung Funksignale an den WLAN-Chip sendet - das Szenario ist durchaus realistisch. Gal Beniamini von Googles Project Zero ist es gelungen, mehrere Sicherheitslücken in der Firmware von Broadcom-Chips zu finden und auszunutzen. Diese Chips kommen in vielen modernen Smartphones zum Einsatz, beispielsweise in Googles eigenen Nexus-Geräten (5, 6, 6P), in Samsung-Smartphones (S6 Edge, S7 Edge, S7) und in allen aktuellen iPhones ab dem iPhone 4. Von Google und Apple gibt es Updates.

Inhalt:
  1. Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip
  2. WLAN-Chips sind Minicomputer ohne Schutzmechanismen

In modernen Systemen und auch in Smartphones befinden sich heute viele Bauteile, die eigene Minicomputer sind. Bei den Broadcom-WLAN-Chips handelt es sich um sogenannte Fullmac-Chips. Ein Großteil der Logik, die zum Aufbau einer WLAN-Verbindung notwendig ist, ist dabei Teil der Firmware, die auf einem eigenen Prozessor läuft. In den untersuchten WLAN-Chips von Broadcom läuft ein Cortex-R4-Prozessor von ARM.

Der Google-Forscher musste zunächst einige Hürden überwinden, um überhaupt in der Lage zu sein, den auf den Chips laufenden Code zu analysieren. Die Firmware steht nur als Binary zur Verfügung und auf dem Chip selber laufen keine Debugger oder Ähnliches. Hilfreich war jedoch, dass es zu einigen älteren Broadcom-Chips mit ähnlicher Funktionsweise inzwischen detaillierte Datenblätter gibt. Weiterhin stellt Broadcom selbst ein kleines Tools bereit, mit dem man mit dem Treiber direkt interagieren kann.

Buffer Overflows ermöglichen Codeausführung

Insgesamt vier Buffer Overflows entdeckte Beniamini im Firmware-Code. Zwei Stack Overflows betrafen Code für spezielle Roaming-Features: Fast BBS Transition und CCKM. Allerdings sind diese Features auf vielen Chips deaktiviert. Sie waren auf sämtlichen untersuchten Nexus-Geräten nicht vorhanden. Daher konzentrierte sich Beniamini auf die anderen Lücken.

Stellenmarkt
  1. INIT Group, Karlsruhe, Braunschweig
  2. Elite Consulting Network Group über Elite Consulting Personal & Management Solutions GmbH, Essen

Zwei Heap Overflows fanden sich im Code des TDLS-Protokolls. Dieses Protokoll ermöglicht es, dass Geräte in einem WLAN-Netzwerk unter Umgehung des Access Points direkt miteinander Daten austauschen. Das ist beispielsweise für lokale Streaminganwendungen sinnvoll, da die Datenrate des Access Points hier zum Flaschenhals werden könnte. Anders als die eher exotischen Roaming-Features war TDLS auf allen untersuchten Geräten verfügbar.

Bei den Fehlern handelt es sich um sehr typische Buffer Overflows: Bei einer Kopie von Speicherbereichen wird schlicht ein Längenfeld aus den TDLS-Paketen nicht korrekt geprüft. Code für TDLS befindet sich auch in wpa_supplicant, einem Tool, um unter Linux Verbindungen mit verschlüsselten WLAN-Netzen aufzubauen. Durch einige Patches, sowohl für wpa_supplicant als auch für den WLAN-Code im Linux-Kernel, gelang es Beniamini, mittels manipulierter TDLS-Pakete Code auf dem Chip auszuführen. Der Exploit ist dabei relativ komplex, im Blogpost von Project Zero sind die Details beschrieben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
WLAN-Chips sind Minicomputer ohne Schutzmechanismen 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

thomaz 11. Jul 2017

Nicht schlecht. Jedes ältere iPhone einfach so hacken? Wieso berichtet die Taggesschau...

M.P. 10. Apr 2017

HF-Dichtes Metallgehäuse drum sollte es auch tun ...

tcm-marcel 06. Apr 2017

Eine Alternative ist z.B. der L4-Microkernel, von dem es sogar beweisbar sichere...

tbol.inq 06. Apr 2017

Wenn man nicht jedes Jahr ein neues Smartphone herausbringen würde (oder mehr), dann...

Vielfalt 05. Apr 2017

Thema verfehlt, 6!


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

    •  /