A Guardicore, empresa de segmentação que oferece soluções disruptivas para o tradicional mercado de firewalls, descobriu um vetor de ataque atuando no controle remoto por comando de voz XR11, da Comcast, que transformava esse dispositivo em um aparelho de escuta. Esse modelo de controle remoto é dos mais difundidos no mercado americano, presente em cerca de 18 milhões de residências nos EUA. O ataque, denominado WarezTheRemote, foi remediado pela Comcast com a ajuda da Guardicore.
Participe do nosso grupo no Telegram ou Whatsapp!
A técnica empregada é a conhecida como man-in-the-middle, em que, normalmente, um roteador Wi-Fi é empregado para interceptar conversas. No caso, foram utilizadas as ondas de radiofrequência que possibilitam a comunicação entre o controle remoto em si e seu set-top box ligado a ela para captar conversas, aproveitando vulnerabilidade na entrega de atualizações de firmware pelo ar para inserir software malicioso. Por isso a equipe do Guardicore Labs denominou o ataque WarezTheRemote, Warez significando software ilegalmente copiado.
A descoberta
O ataque não exigia qualquer contato físico com o controle remoto visado ou com a vítima: qualquer transceptor RF de baixo custo permitiria ao hacker assumir um aparelho de controle remoto XR11. Usando uma antena de 16dBi, a equipe da Guardicore conseguiu ouvir conversas em uma casa a cerca de 20 metros de distância – que poderia ter sido ampliada facilmente com equipamentos mais potentes.
Siga o tecflow no Google News e veja artigos como este!
A pesquisa em segurança nos datacenters corporativos levou a equipe do Guardicore Labs a examinar dispositivos domésticos capazes de se conectarem com datacenters a distância. Nesse contexto, foi descoberta uma maneira de abrir um shell sobre Ethernet em um set-top box Xfinity X1 – o que ainda necessitava acesso físico ao hardware da caixa. Depois de relatar o problema à Comcast, a quem pertence a marca Xfinity, o time do Guardicore Labs decidiu examinar o controle remoto de voz XR11, que vem com o set-top box. O XR11 tem um botão de microfone que, pressionado, habilita comandos de voz para o decodificador, facilitando ao usuário mudar de canal, pesquisar programas de TV, encontrar recomendações, etc.
Ao contrário dos equipamentos mais antigos, a comunicação do controle remoto com o set-top box não é feita por infravermelho, mas por radiofrequência. A combinação de recursos de gravação com comunicação por RF por si só pode ser bastante interessante para um hacker interceptar o som ambiente. Além disso, esse tipo de controle remoto é capaz de receber atualizações de firmware automaticamente pelo ar, o que facilita também sua invasão, chegando a ser o principal vetor de ataque para esse tipo de equipamento – e isso também já foi remediado pela Comcast, que passou a exigir uma autenticação para as atualizações.
Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo em áudio
Por meio de engenharia reversa do firmware do controle remoto e do software com o qual ele se comunica no decodificador, o time da Guardicore encontrou uma vulnerabilidade na maneira como o controle remoto lidava com os pacotes de RF de entrada. O controle remoto se comunica com o decodificador pelo protocolo RF4CE (Radio Frequency for Consumer Electronics), que é um subconjunto da família Zigbee de protocolos RF de economia de energia. Esse protocolo possui um recurso chamado “segurança” para criptografar o conteúdo dos pacotes RF4CE.
Curso de programação JAVA (desde iniciante até avançado) – Coletânea de apostilas.
Em teoria, essa criptografia deveria ter evitado que um invasor externo injetasse seus pacotes na conexão. Porém, na implementação do XR11, a segurança RF4CE é definida pacote por pacote. Cada pacote RF4CE possui um byte de “sinalizadores” e quando um de seus bits é definido como 1, a segurança é habilitada para esse pacote e seu conteúdo será criptografado. Da mesma forma, se o bit não estiver definido, o pacote será enviado.
Saiba: como proteger o Windows 10 contra hackers
Ou seja, o firmware original do XR11 não verificava se as respostas às solicitações criptografadas também eram criptografadas. Assim, se um invasor dentro do alcance de RF respondesse às solicitações de saída (criptografadas) do controle remoto em texto simples, esse controle aceitaria suas respostas. Seria possível ao hacker aproveitar-se desse comportamento passando-se pelo conversor com qual o controle remoto havia sido emparelhado. Combinada à vulnerabilidade que permitia a instalação de uma imagem de firmware não assinada, o invasor seria facilmente capaz de instalar o software de escuta.
Deixe seu comentário e faça como os mais de 1.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão!
Marciel
Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.