Abo
  • Services:

Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip

Googles Project Zero zeigt, wie man ein Smartphone per WLAN übernehmen kann. WLAN-Chips haben heute eigene Betriebssysteme, denen jedoch alle modernen Sicherheitsmechanismen fehlen.

Artikel von Hanno Böck veröffentlicht am
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken.
Viele Komponenten in Smartphones sind eigene Minicomputer - mit eigenen Sicherheitslücken. (Bild: Köf3/Wikimedia Commons/CC-BY 3.0)

Ein Smartphone übernehmen, indem man lediglich aus der Umgebung Funksignale an den WLAN-Chip sendet - das Szenario ist durchaus realistisch. Gal Beniamini von Googles Project Zero ist es gelungen, mehrere Sicherheitslücken in der Firmware von Broadcom-Chips zu finden und auszunutzen. Diese Chips kommen in vielen modernen Smartphones zum Einsatz, beispielsweise in Googles eigenen Nexus-Geräten (5, 6, 6P), in Samsung-Smartphones (S6 Edge, S7 Edge, S7) und in allen aktuellen iPhones ab dem iPhone 4. Von Google und Apple gibt es Updates.

Inhalt:
  1. Broadcom-Sicherheitslücke: Angriff über den WLAN-Chip
  2. WLAN-Chips sind Minicomputer ohne Schutzmechanismen

In modernen Systemen und auch in Smartphones befinden sich heute viele Bauteile, die eigene Minicomputer sind. Bei den Broadcom-WLAN-Chips handelt es sich um sogenannte Fullmac-Chips. Ein Großteil der Logik, die zum Aufbau einer WLAN-Verbindung notwendig ist, ist dabei Teil der Firmware, die auf einem eigenen Prozessor läuft. In den untersuchten WLAN-Chips von Broadcom läuft ein Cortex-R4-Prozessor von ARM.

Der Google-Forscher musste zunächst einige Hürden überwinden, um überhaupt in der Lage zu sein, den auf den Chips laufenden Code zu analysieren. Die Firmware steht nur als Binary zur Verfügung und auf dem Chip selber laufen keine Debugger oder Ähnliches. Hilfreich war jedoch, dass es zu einigen älteren Broadcom-Chips mit ähnlicher Funktionsweise inzwischen detaillierte Datenblätter gibt. Weiterhin stellt Broadcom selbst ein kleines Tools bereit, mit dem man mit dem Treiber direkt interagieren kann.

Buffer Overflows ermöglichen Codeausführung

Insgesamt vier Buffer Overflows entdeckte Beniamini im Firmware-Code. Zwei Stack Overflows betrafen Code für spezielle Roaming-Features: Fast BBS Transition und CCKM. Allerdings sind diese Features auf vielen Chips deaktiviert. Sie waren auf sämtlichen untersuchten Nexus-Geräten nicht vorhanden. Daher konzentrierte sich Beniamini auf die anderen Lücken.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Bremer Rechenzentrum GmbH, Bremen

Zwei Heap Overflows fanden sich im Code des TDLS-Protokolls. Dieses Protokoll ermöglicht es, dass Geräte in einem WLAN-Netzwerk unter Umgehung des Access Points direkt miteinander Daten austauschen. Das ist beispielsweise für lokale Streaminganwendungen sinnvoll, da die Datenrate des Access Points hier zum Flaschenhals werden könnte. Anders als die eher exotischen Roaming-Features war TDLS auf allen untersuchten Geräten verfügbar.

Bei den Fehlern handelt es sich um sehr typische Buffer Overflows: Bei einer Kopie von Speicherbereichen wird schlicht ein Längenfeld aus den TDLS-Paketen nicht korrekt geprüft. Code für TDLS befindet sich auch in wpa_supplicant, einem Tool, um unter Linux Verbindungen mit verschlüsselten WLAN-Netzen aufzubauen. Durch einige Patches, sowohl für wpa_supplicant als auch für den WLAN-Code im Linux-Kernel, gelang es Beniamini, mittels manipulierter TDLS-Pakete Code auf dem Chip auszuführen. Der Exploit ist dabei relativ komplex, im Blogpost von Project Zero sind die Details beschrieben.

WLAN-Chips sind Minicomputer ohne Schutzmechanismen 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  2. 4,99€
  3. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...

thomaz 11. Jul 2017

Nicht schlecht. Jedes ältere iPhone einfach so hacken? Wieso berichtet die Taggesschau...

M.P. 10. Apr 2017

HF-Dichtes Metallgehäuse drum sollte es auch tun ...

tcm-marcel 06. Apr 2017

Eine Alternative ist z.B. der L4-Microkernel, von dem es sogar beweisbar sichere...

tbol.inq 06. Apr 2017

Wenn man nicht jedes Jahr ein neues Smartphone herausbringen würde (oder mehr), dann...

Vielfalt 05. Apr 2017

Thema verfehlt, 6!


Folgen Sie uns
       


Steam Spy vor dem Aus - Bericht

Das Tool Steam Spy kann nach Valves Änderungen bei den Privatsphäre-Einstellungen des Onlineshops nach Angaben des Erfinders nicht länger funktionieren.

Steam Spy vor dem Aus - Bericht Video aufrufen
Razer Nommo Chroma im Test: Blinkt viel, klingt weniger
Razer Nommo Chroma im Test
Blinkt viel, klingt weniger

Wenn die Razer Nommo Chroma eines sind, dann auffällig. Dafür sorgen die ungewöhnliche Form und die LED-Ringe, die sich beliebig konfigurieren lassen. Die Lautsprecher sind aber eher ein Hingucker als ein Hinhörer.
Ein Test von Oliver Nickel

  1. Razer Kiyo und Seiren X im Test Nicht professionell, aber schnell im Einsatz
  2. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  3. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /