Abo
  • Services:
Anzeige
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810 (Bild: Qualcomm)

Broadcom-Sicherheitslücke: Vom WLAN-Chip das Smartphone übernehmen

Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810 (Bild: Qualcomm)

Vor kurzem zeigten Google-Sicherheitsexperten, wie man die Firmware eines Broadcom-WLAN-Chips angreifen kann. Damit lässt sich auch das komplette Smartphone übernehmen - dank weiterer Bugs und weil die Hardware nicht hinreichend isoliert wurde.

Sicherheitslücken in der Firmware von Broadcom-WLAN-Chips haben es Gal Beniamini von Googles Project Zero erlaubt, die Kontrolle über den Chip zu erlangen. Doch offen blieb dabei die Frage, wie man von dort aus Kontrolle über das ganze Gerät erlangt. In einem zweiten Blogpost beschreibt Beniamini nun genau das. Dabei zeigt er zwei Wege auf - einen über Sicherheitslücken im Treiber und einen zweiten direkt über den PCI-Bus.

Anzeige

Zur Erinnerung: Mit Hilfe eines Buffer Overflow gelang es, die Firmware von Broadcom-WLAN-Chips zu exploiten, die in zahlreichen aktuellen Smartphones verbaut sind. Der WLAN-Chip ist dabei faktisch ein Mini-Computer mit eigenem Betriebssystem, unabhängig vom eigentlichen Smartphone-Betriebssystem. Damit ermöglichte der Exploit es zunächst "nur", Code auf dem WLAN-Chip selber auszuführen.

Kommunikation zwischen Firmware und Betriebssystem-Treiber

Die WLAN-Firmware nutzt dabei eine besondere Methode, um mit dem Treiber auf dem Betriebssystem zu kommunizieren: Sie codiert die Kommunikation über Ethernet-Frames mit einer bestimmten Id. Der Hintergrund: Die Chips werden in verschiedenen Bus-Systemen eingesetzt. Manche sind über PCI angebunden, andere über USB oder SDIO. In allen Fällen müssen jedoch Ethernet-Frames von der Firmware an den Treiber weitergegeben werden. Diese bieten somit eine generische Möglichkeit der Kommunikation.

In älteren Versionen der Broadcom-Firmware war es möglich, diese speziellen Kontroll-Ethernet-Frames auch direkt von außen via Netzwerk zu schicken. Doch in neueren Versionen führte Broadcom eine Filterfunktion in der Firmware ein. Aber, da der WLAN-Chip bereits exploitet war, stellte diese kein Hindernis dar. Der Exploit kann diesen Code einfach überschreiben und deaktivieren.

Beniamini fand im Android-Treiber des Broadcom-Chips gleich fünf verschiedene Memory-Corruption-Sicherheitslücken. Eine davon erwies sich als besonders gut geeignet für einen Exploit - ein typischer Heap Overflow.

Komplexer Exploit mittels Heap Spraying

Der gesamte Exploit ist extrem komplex. Da der Angreifer von außen kaum etwas über das aktuelle Speicherlayout des Systems weiß, muss er sich auf Heap Spraying verlassen. Letztendlich gelang es Beniamini, einen funktionierenden Exploit für ein Nexus 5 zu erstellen, der auch im Bugtracker von Project Zero heruntergeladen werden kann.

Doch auf manchen Geräten ist dieser Aufwand überhaupt nicht notwendig. Das hängt damit zusammen, wie der WLAN-Chip an das System angebunden ist. Auf älteren Systemen wurde hier häufig SDIO genutzt, doch laut Beniamini nutzen viele aktuelle Smartphones PCI-Express.

Eine bekannte Eigenschaft von PCI-Geräten ist es, dass diese direkten Zugriff auf den Arbeitsspeicher mittels DMA haben. Solche DMA-Angriffe können auch genutzt werden, um Laptops oder Desktop-Systeme mittels bestimmter Schnittstellen zu übernehmen, etwa Firewire oder Thunderboldt. Als Schutz vor DMA-Angriffen können modernere Systeme jedoch eine Technologie namens IOMMU nutzen. Damit lassen sich angeschlossene Geräte vom System isolieren und der Speicherzugriff unterbinden.

Isolationsmechanismus SMMU wird häufig nicht genutzt

ARM nutzt eine eigene Variante von IOMMU, eine sogenannte System Memory Mapping Unit (SMMU). Dass diese Technologie vorhanden ist, heißt aber nicht, dass sie auch genutzt wird. So fand Beniamini heraus, dass auf einem Nexus 6P, das Qualcoms Snapdragon 810 benutzt, SMMU für den WLAN-Chip nicht aktiv ist. Auch auf einem Galaxy S7 Edge, das mit Samsungs Exynos 8890 betrieben wird, war SMMU nicht aktiv.

Die Folge: Die Firmware des WLAN-Chips kann direkt auf den Arbeitsspeicher des Betriebssystems zugreifen und beispielsweise den Kernel-Code umschreiben. Auf solchen Systemen bedeutet ein Exploit der WLAN-Firmware also direkt auch eine Kompromittierung des gesamten Systems.

Fazit: bessere Isolierung und bessere Sicherheitsmechanismen für Firmwares

Bereits aus dem ersten Blogpost wurde klar, dass WLAN-Chips in Sachen Sicherheit aufrüsten sollten. Während auf Smartphone- und Desktop-Systemen Sicherheitsmechanismen wie ASLR, Stack Cookies und nicht ausführbare Speicherbereiche inzwischen sehr verbreitet sind, ist dies bei Firmwares meist nicht der Fall.

Doch auch an anderer Stelle sind Verbesserungen notwendig: Wenn Geräte über PCI oder andere Bussysteme angebunden sind, die auf den Speicher des Systems zugreifen können, sind Schutzmechanismen wie IOMMU dringend nötig. Und zu guter Letzt sollten Sicherheitsforscher wohl Treibern und Firmwares mehr Aufmerksamkeit widmen - und Hardwarehersteller sollten sich mehr um die Sicherheit ihres Codes kümmern.


eye home zur Startseite
Prinzeumel 13. Apr 2017

Nein. Wieso?



Anzeige

Stellenmarkt
  1. CBC ComputerBusinessCenter GmbH, Frankfurt am Main
  2. DZ PRIVATBANK S.A., Luxemburg
  3. EOS GmbH Electro Optical Systems, Krailling bei München
  4. ADA Cosmetics Holding GmbH, Kehl


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan Blu-ray 9,97€, Deadpool Blu-ray 8,97€, Fifty Shades of Grey Blu-ray 11,97€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)

Folgen Sie uns
       


  1. Internet der Dinge

    Bosch will die totale Vernetzung

  2. Bad News

    Browsergame soll Mechanismen von Fake News erklären

  3. Facebook

    Denn sie wissen nicht, worin sie einwilligen

  4. Opensignal

    Deutschland soll auch beim LTE-Ausbau abgehängt sein

  5. IBM Spectrum NAS

    NAS-Software ist klein gehalten und leicht installierbar

  6. Ryzen V1000 und Epyc 3000

    AMD bringt Zen-Architektur für den Embedded-Markt

  7. Dragon Ball FighterZ im Test

    Kame-hame-ha!

  8. Für 4G und 5G

    Ericsson und Swisscom demonstrieren Network Slicing

  9. FTTH

    Gewerbegebiete in Hannover und Potsdam bekommen Glasfaser

  10. Streaming

    Microsoft Store wird auf Mixer eingebunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

  1. Re: Belarus

    Niaxa | 18:09

  2. Re: Plausibilitätscheck

    kilrathi | 18:09

  3. Re: Grafik nicht vernünftig nutzbar

    anonym | 18:05

  4. Von Wissenschaftlern ... entwickelt

    SelfEsteem | 18:04

  5. Re: Zielgruppe?

    bombinho | 18:03


  1. 17:48

  2. 16:29

  3. 16:01

  4. 15:30

  5. 15:15

  6. 15:00

  7. 14:02

  8. 13:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel