Abo
  • Services:
Anzeige
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810 (Bild: Qualcomm)

Broadcom-Sicherheitslücke: Vom WLAN-Chip das Smartphone übernehmen

Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810
Nutzt kein IOMMU, um den WLAN-Chip zu isolieren: Qualcomms Snapdragon 810 (Bild: Qualcomm)

Vor kurzem zeigten Google-Sicherheitsexperten, wie man die Firmware eines Broadcom-WLAN-Chips angreifen kann. Damit lässt sich auch das komplette Smartphone übernehmen - dank weiterer Bugs und weil die Hardware nicht hinreichend isoliert wurde.

Sicherheitslücken in der Firmware von Broadcom-WLAN-Chips haben es Gal Beniamini von Googles Project Zero erlaubt, die Kontrolle über den Chip zu erlangen. Doch offen blieb dabei die Frage, wie man von dort aus Kontrolle über das ganze Gerät erlangt. In einem zweiten Blogpost beschreibt Beniamini nun genau das. Dabei zeigt er zwei Wege auf - einen über Sicherheitslücken im Treiber und einen zweiten direkt über den PCI-Bus.

Anzeige

Zur Erinnerung: Mit Hilfe eines Buffer Overflow gelang es, die Firmware von Broadcom-WLAN-Chips zu exploiten, die in zahlreichen aktuellen Smartphones verbaut sind. Der WLAN-Chip ist dabei faktisch ein Mini-Computer mit eigenem Betriebssystem, unabhängig vom eigentlichen Smartphone-Betriebssystem. Damit ermöglichte der Exploit es zunächst "nur", Code auf dem WLAN-Chip selber auszuführen.

Kommunikation zwischen Firmware und Betriebssystem-Treiber

Die WLAN-Firmware nutzt dabei eine besondere Methode, um mit dem Treiber auf dem Betriebssystem zu kommunizieren: Sie codiert die Kommunikation über Ethernet-Frames mit einer bestimmten Id. Der Hintergrund: Die Chips werden in verschiedenen Bus-Systemen eingesetzt. Manche sind über PCI angebunden, andere über USB oder SDIO. In allen Fällen müssen jedoch Ethernet-Frames von der Firmware an den Treiber weitergegeben werden. Diese bieten somit eine generische Möglichkeit der Kommunikation.

In älteren Versionen der Broadcom-Firmware war es möglich, diese speziellen Kontroll-Ethernet-Frames auch direkt von außen via Netzwerk zu schicken. Doch in neueren Versionen führte Broadcom eine Filterfunktion in der Firmware ein. Aber, da der WLAN-Chip bereits exploitet war, stellte diese kein Hindernis dar. Der Exploit kann diesen Code einfach überschreiben und deaktivieren.

Beniamini fand im Android-Treiber des Broadcom-Chips gleich fünf verschiedene Memory-Corruption-Sicherheitslücken. Eine davon erwies sich als besonders gut geeignet für einen Exploit - ein typischer Heap Overflow.

Komplexer Exploit mittels Heap Spraying

Der gesamte Exploit ist extrem komplex. Da der Angreifer von außen kaum etwas über das aktuelle Speicherlayout des Systems weiß, muss er sich auf Heap Spraying verlassen. Letztendlich gelang es Beniamini, einen funktionierenden Exploit für ein Nexus 5 zu erstellen, der auch im Bugtracker von Project Zero heruntergeladen werden kann.

Doch auf manchen Geräten ist dieser Aufwand überhaupt nicht notwendig. Das hängt damit zusammen, wie der WLAN-Chip an das System angebunden ist. Auf älteren Systemen wurde hier häufig SDIO genutzt, doch laut Beniamini nutzen viele aktuelle Smartphones PCI-Express.

Eine bekannte Eigenschaft von PCI-Geräten ist es, dass diese direkten Zugriff auf den Arbeitsspeicher mittels DMA haben. Solche DMA-Angriffe können auch genutzt werden, um Laptops oder Desktop-Systeme mittels bestimmter Schnittstellen zu übernehmen, etwa Firewire oder Thunderboldt. Als Schutz vor DMA-Angriffen können modernere Systeme jedoch eine Technologie namens IOMMU nutzen. Damit lassen sich angeschlossene Geräte vom System isolieren und der Speicherzugriff unterbinden.

Isolationsmechanismus SMMU wird häufig nicht genutzt

ARM nutzt eine eigene Variante von IOMMU, eine sogenannte System Memory Mapping Unit (SMMU). Dass diese Technologie vorhanden ist, heißt aber nicht, dass sie auch genutzt wird. So fand Beniamini heraus, dass auf einem Nexus 6P, das Qualcoms Snapdragon 810 benutzt, SMMU für den WLAN-Chip nicht aktiv ist. Auch auf einem Galaxy S7 Edge, das mit Samsungs Exynos 8890 betrieben wird, war SMMU nicht aktiv.

Die Folge: Die Firmware des WLAN-Chips kann direkt auf den Arbeitsspeicher des Betriebssystems zugreifen und beispielsweise den Kernel-Code umschreiben. Auf solchen Systemen bedeutet ein Exploit der WLAN-Firmware also direkt auch eine Kompromittierung des gesamten Systems.

Fazit: bessere Isolierung und bessere Sicherheitsmechanismen für Firmwares

Bereits aus dem ersten Blogpost wurde klar, dass WLAN-Chips in Sachen Sicherheit aufrüsten sollten. Während auf Smartphone- und Desktop-Systemen Sicherheitsmechanismen wie ASLR, Stack Cookies und nicht ausführbare Speicherbereiche inzwischen sehr verbreitet sind, ist dies bei Firmwares meist nicht der Fall.

Doch auch an anderer Stelle sind Verbesserungen notwendig: Wenn Geräte über PCI oder andere Bussysteme angebunden sind, die auf den Speicher des Systems zugreifen können, sind Schutzmechanismen wie IOMMU dringend nötig. Und zu guter Letzt sollten Sicherheitsforscher wohl Treibern und Firmwares mehr Aufmerksamkeit widmen - und Hardwarehersteller sollten sich mehr um die Sicherheit ihres Codes kümmern.


eye home zur Startseite
Prinzeumel 13. Apr 2017

Nein. Wieso?



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Continental AG, München
  3. Fresenius Kabi Deutschland GmbH, Bad Homburg
  4. Jako-o GmbH, Bad Rodach


Anzeige
Top-Angebote
  1. 88€ (Vergleichspreis ca. 119€)
  2. 16,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. 19,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Zitis Wer Sicherheitslücken findet, darf sie behalten
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: gäbe es sowas im vodafone kabelnetz

    MAGA | 22:23

  2. Re: Der Preis ist bei UM auch möglich

    MAGA | 22:23

  3. Re: Der Preis war schon damals ok

    GourmetZocker | 22:21

  4. Re: potthässlich ...

    LokiLokus | 22:20

  5. Re: Firewatch

    Cr0n1x | 22:15


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel