 Następnie będzie Jeske. Jeske zajmuje się tym od około dziesięciu lat w każdym razie od dawna. Czasami występuje tutaj, ostatnio to było na temat Bluetooth. Wtedy mówi o tym, czego głowa teraz będzie o tym mówić bardziej ogólnie. Temat to będzie LTE Wi-Fi Bluetooth i co z nimi jest nie tak. Wszystkie stosy komunikacji bezprzewodowej są również skrzenione przez Jeske. Witam. Chciałam to zrobić jako podstawowy wykład, ale będziemy mówić o wszystkich rodzajach komunikacji bezprzewodowej w naszych smartfonach. Muszę mówić o nich po kolei na różne sposoby pod względem linii kodu, długości specyfikacji. To przekłada się na większe skomplikowanie i problemy z bezpieczeństwem. Są jeszcze gorsze rzeczy niż LTE, czyli rzeczy, które przygotowali przychod ducencie. Większe z tego, o czym powiem, będzie na temat wykorzystywania siedziby bezprzewodowych za pomocą fozowania. Ale będzie to ogólnie bardziej ogólne podejście. Pierwsza rzecz, którą musimy zacząć, to to, że wykorzystanie dziury w bezpieczeństwie przekłada się na kilka warstw. Pierwsza z nich to jest część użytkownika. Zależy od tego, w jakim jesteśmy, systemie i aplikacji. Nieważne, gdzie jest problem. W tej warstwie pewne zabezpieczenie, bezpieczeństwa przestają być efektywne. Na przykład, jeżeli jest problem w zabezpieczeniu, to znaczy, że to będzie niedziałujące. Im niżej w stosie, im bliżej sprzętu jesteśmy, tym bardziej kosztowne jest ich rozprosowywanie. Pytanie, dlaczego rozprosowywanie siedziby bezprzewodowych jest trochę tańsze niż sprzętu? Może chodzi o to, że trudniej z nimi się połączyć. W naszej grupie działam z badaniami na temat siedziby bezprzewodowych. Pierwsza z nich to było FFC Gate działający na telefonach. Potem był Nexmon, to jest ten większy projekt. To było wprowadzanie Watt w kartach Broadcomu, a nawet wprowadzenie radio definiowanego z programowaniem. Z tego powstało kilka projektów. Jeden z nich jest Qualcomm ATLi LTE, a drugi jest Internal Blues, w którym ja działam. Jest jeszcze ktoś, kto się nazywa Milan, i on robi coś w warstwie aplikacji, tak zwane OpenDrop, który implementuje Apple AirDrop, który działa na SBIR By. To, co używamy do wykorzystywania dziur, a nawet nie tylko my. Różne grupy używają Nexmonu. Dużo się dzieje. Internal Blues pomógł w ataku przeciwko negocjacji kluczowych budów. Open AirDrop był używany do słyjków miodu. Jeśli wszyscy używają tego do wykorzystywania podatności, dlaczego my nie mielibyśmy tego robić? Cóż, dokładnie to zrobiliśmy w naszym pierwszym projekcie, kiedy skupiliśmy się na NFC, znaczy komunikacji bardzo bliskiego zasięgu. Pierwszą rzeczą, jaką powiemy o NFC, jest to, że nie jest tak naprawdę bardzo bliskiego zasięgu. Jeśli masz kartę albo telefon, który używasz do płatności zbliżeniowej, sygnał NFC może zostać przesłany innym rodzajem sieci do innego urządzenia. I można nawet zmieniać te wiadomości przesyłając jednego urządzenia do drugiego. Testowaliśmy to i niektóre strony zaangażowane w to poprosiły nas, żebyśmy przestali testować, ponieważ było to aż tak skuteczne. W tym miesiącu były wykład na temat wykorzystania bezpośrednio NFC. Udało się z sukcesem złamać. NFC staff jest zwykle związany z przekazywaniem wiadomości dalej. W przypadku bluetootha sytuacja jest trochę inna. Ze względu na to, jak zaprojektowany jest bluetooth, klucze do szyfrowania można poprosić o klucze do szyfrowania z firmieru albo znajdują się one już na chipie. Korzystając z nich można popsuć każdą funkcjonalność, jaka korzysta z bluetootha. Jeśli na przykład dodamy jakieś urządzenie do androida jako zaufane, na przykład głośnik albo nawigację samochodową, to już pytanie jest, jak bardzo bezpieczny jest bluetooth w tym urządzeniu, w jakiej jest wersji. Jeżeli uda się uzyskać wykonanie kodu na chipie bluetooth, być może można eskalować to do innych komponentów, które się z nią komunikują. Kolejnym pytaniem jest, jak długo można wykorzystywać podatność, jeżeli już złamy się zabezpieczenia. Na przykład jeśli włamiemy się na jakieś urządzenie, czy możemy je kontrolować cały czas. Specifikacja mówi, że komenda hce i reset niekoniecznie zrestartuje fizycznie chip. W związku z tym część stanu może zostać zachowana. Chipy Broadcom Cypress, czyszczą kolejki połączenia i tak dalej przy resecie, ale nie wykonują pełnego resetu. W związku z tym można prawdopodobnie zachować jakiś stan w pamięci. Ok, co możemy z tym zrobić? Możemy pomyśleć, żeby włączyć w smartfonie typ samolatowy? Cóż, być może to zrestartuje chip. Zrestartowanie telefonu może zrestartować chip. Można też wrzucić smartfona do miksera kuchennego i liczyć na to, że zostanie zniszczony. Przyjmijmy, że mamy exploit, ale nadal potrzebujemy tego exploit najpierw, więc żeby go znaleźć, próbowaliśmy zastosować technikę fazingu na chipie, ale było to bardzo powolne, w związku z tym, żeby szybciej móc to zrobić, zaczęliśmy symulować oprogramowanie chipu Bluetooth na komputerze. Zbudowaliśmy to w ciągu 3 miesięcy i w ciągu kolejnych 3 miesięcy udało się napisać z tego prace magisterską. To, co zrobiliśmy, to zrobiliśmy Snapshot i uruchamiliśmy go na komputerze. To, co może się wydarzyć to, że jeżeli nawet znajdziemy jakąś podatność, to może ona być związana z systemem na komputerze. Mąły demo, jak możemy to zrobić. Pokazujemy to w video, ponieważ gdybyśmy trafili w jakąś podatność, mogłoby to spowodować restart lub swowolnić komputer. No więc to, na czym ja się skupił, to stanę połączeń, czyli tam, gdzie nie musisz niepotrzebne sprarowanie, szukamy problemów ze stosem. Większe z tych rzeczy zostało naprawione, przynajmniej w najnowszych urządzeniach, a potem wyszedł iPhone 11. W przeciwieństwie ze specyfikacją Bluetooth mówi, że ma Bluetooth 5.1, więc moja reakcja była taka, nie ważne, co dostaję, jeżeli potrafię to wykorzystać jako podatność. No dobrze, więc dodajmy kilka testów do Frankensteina. No i okazuje się, że płytka, którą ja budował, ma pewien problem z konfiguracją niektórych pakietów. Jeżeli to da się zmienić, to wtedy zepsujemy urządzenie. Spróbowałam dwóch urządzeń i oba zostały schronione kompletnie. Więc musiałam użyć innej płytki. No i to prawidziała, więc to jest coś, co nie jest jeszcze do końca zrobione, ale prawidziała. Nasze dalsze plany dodawanie więcej sprzętu, pewnie jakiegoś MacBooka. Nie będziemy tylko wtedy na Linuxie, ale również na MacOSie. Jeszcze fajna rzecz, której nie mamy, to może używanie sprzętu przez PCI, żeby dostawać prawdziwe dane, prawdziwe pakiety, które idzą przez ether. Można byłoby używać tego, żeby sprawdzić nowe sposoby modulacji, a nie tylko bezpieczeństwo. Więc kolejną rzeczą jest to, że jeżeli mamy wykonanie kodu, co możemy z tym zrobić? Normalnie próbujemy przejść przez wszystkie warstwy stosu, aż do aplikacji, ale możemy jeszcze próbować eskalacji na poziomie chipu. Na tym schematzie mamy brotką, gdzie jest wspólna antena między Bluetoothem i Wi-Fi. Czasami mamy interferencję z dwoma antenami, więc wykorzystuje się jedną antenę po to, żeby one ze sobą nie koliwały. To się nazywa koekzystencja. Jest bardzo wiele interfejsów koekzystencji, i ten akurat jest z brotkomu. Kiedy to widziałam, to... Francesco, spojrzmy na to. Francesco robił, zajmuje się Bluetooth, więc spojrzmy na to. Francesco powiedział, że to jest tylko coś na temat marketingu. Ja mówię, że nie to na pewno, da się wykorzystać, aby znaleźć jakąś dziurę. Podczas podróży do Włoch, gdzie mieliśmy lody, próbowałyśmy to rozpracować. Między Wi-Fi i Bluetooth jest dużo wspólnych klas pokietów. Chraliśmy taką zabawę, że próbował ukraść moją antenę, a ja jego. Okazuje się, że jeżeli to się... Jeżeli to wykorzystamy, to da się wyłączyć antenę Bluetooth za pomocą Wi-Fi, a Wi-Fi za pomocą Bluetooth. Niektóre telefony się przez to zawieszają. Za pomocą iPhone'ów ona się po prostu wyłączają. Brotkom próbuje to naprawić, ale nie wiemy, czy jeszcze to... czy już się udało. Ja mam, że w iOS'ie 13 w końcu to naprawili, ale wciąż nie działa, wciąż się resetują. Ale to jest tylko jakieś blokowanie do sobu, więc to nie jest jakieś strasznie niebezpieczne. Ale to nie jest zbyt fajne, że wciąż jest nie naprawione. Jest... co na temat innych stosów? Jest wiele różnych, jest wiele różnych stosów Bluetooth, więc to jest straszny bołagan z powodu Frankensteina dzięki Frankensteinowi. Mieliśmy pierwszy atak, no ale... jak to wyglądało w 2017? Znalazliśmy eskalację na Androidzie. W bezpieczeństwie część to mówi się tak, że jeżeli ktoś się tym dają, to teraz musi być naprawdę na pewno naprawione, bezpieczne. Teraz jest bardzo dużo urządzeń, gdzie są urządzenia fitnessowe, wsłuchawki, gadżety. Potem są urządzenia Apple'a, kiedy Bluetooth jest wiecznie włączone. Można nawet używać Bluetooth z przeglądarek teraz, więc jest bardzo dużo interface'ów, gdzie tego typu ataki mogą być wykorzystane. W roku 2020 spodziewam się więcej tego typu ataku. Nie chcę winić deweloperów, ewidentnie widać, że bardzo mało osób kontrybuje do tego projektu. Jeśli zrobicie GidBlame, to często zobaczycie dokładnie tę samą osobę i tylko jedną. Na obrazku w prawym dolnym rogu jest trzykrotnie ta sama osoba. Mam też wrażenie, że mało kto tego używa i tak, jest to dość smutne. Jest też, powiedziałabym, najdziwniejszy stos od Apple'a, macOS tak, jest on zdecydowanie różny i skomplikowany. Każde urządzenie używa trochę innego oprogramowania. Są też protokoły ponad samym oprogramowaniem Bluetooth'a. Więc różni studenci pracują nad różnymi elementami tego stosu. Jak nas spojrzysz, to pomyślisz no co, jest to chyba strasznie trudne do odkrycia jak działa, ponieważ wszystko używa trochę czego innego, ale być może też jest to po prostu zły kot. Myślę, że może być tak, że oba te zdania są prawdziwe. Kolejnym jest stos na Android'a. Irytuję mnie on bardzo i ma częste updajty. Jeżeli coś pójdzie nie tak na IOS połączenie jest przerwane, jeśli zrobisz to samo na Android'ie, to będzie usiłował komunikować dalej, nawet jak połączenie powinno zostać zerwane. Nie mogłam znać nikogo, kto chciałby pracować z stosem Bluetooth'ów na Windowsie, jeśli znacie kogoś, będę wdzięczna za informację. Kolejny stos który decent pomijaliśmy to LTE. Po angielsku może także rozwinąć jako Long Term Exploitation to znaczy długoterminowe wykorzystanie podatności. Mamy tutaj mnóstwo różnych stosów nawet PowerPC. Bardzo nie lubię Qualcomm Hexagon DSP. Jest bardzo ciężko z nim pracować próbowaliśmy to robić, ale nie jest to przyjemne. Inne osoby także nad tym pracują część z nich mówiła już o tym tutaj, dzisiaj i wczoraj. Z mojego punktu widzenia kartasy im powinna być zabezpieczona ponieważ chroni dostęp do wrażliwych danych. Jest mnóstwo sposobów wykorzystania podatności w niej. Próbowałam dzwonić do Deutsche Telekom i uzyskać informacje o tym jak dokładnie jakie wersje oprogramowania są wykorzystywane ale moja rozmowa była ograniczona do 3 minut jako że byłam zwykłym klientem i nie udało mi się uzyskać żadnej informacji o wielu telefonów i e-mail. Jeśli chcecie wiecie więcej o kartach SIM był wczoraj talk SIM Card Technology from A2Z. Była także wykonywana praca w kierunku fuzowania LTE część z niej nie jest opublikowana część była zaprezentowana na wykładzie SIG-owrot. Odpowiedzialne reportowanie jeżeli coś odkryje to należy to odpowiedzialnie zareportować do producenta. Doszliśmy do 3Dx to jest system operacyjny który działa na urządzenia bluetooth i napisaliśmy do nich wasz stos jest skrzeniony i nie implementuje żadnych sprawdzeń i trochę niespodziewanie powiedzieli że już znają ten sposób ten sposób wykorzystania systemu oprocinnego i to jest to powiedliwalność programista aplikacji żeby coś takiego się nie zdarzyło. Następny problem to testowanie czy podatność wciąż jest wciąż działa gdy mówimy że sprawdziliśmy na nowszy sprzęt i wciąż da się jego wykorzystać to oni nam piszą, że nie możemy tam Wam z powodów tego, że to nie jest nasze wysłać itd. Jeżeli powiemy im że te dziesięć urządzeń ma problem to oni i tak jest prawdą gdy im wyśle tą listę to oni powiedzą, no nie potrzebujecie NDA by tego nie chcemy zrobić więc ogólnie zespół Broadcom na temat odpowiedzialności bezpieczeństwa jest całkiem dziwne bo nawet nie dają nam numerów po których możemy odwoływać się do dziur w bezpieczeństwie nie chcemy też mieć żadnych problemów prawnych może ich klientów w porządku może zależe im na naszych studentach to jest kalendarz odpowiedzialnego reportowania czasami pisze e-mail jak pięciolatek nie wiem w każdym razie to jest kalendarz Quark's Lab który też naleźli dziurę w chipach Broadcom i ten kalendarz jest trochę śmieszny bo mieli podobną strategię znajdowanie wykorzystywania podatności no i więcej co raz więcej w końcu w końcu sobie mówię coś co raz więcej czasu a my nie dostajemy numeru podatności więc to jest trochę smutne Cypres który częściowo ma kodzi ródłowy Broadcom jest również bardzo powolny jeżeli chodzi o odpowiedzialne reportowanie ludzie mówili mi że jeżeli coś się zareportuje kulkomowi to strasznie długo zajmuje na szczęście to nie jest intel ale jest bardzo innych producentów z którymi można przejść przyjazne warunki więc rozwiązania które możemy zrobić sami więc bezpieczne rozwiązanie wifi to nie używaj anten tylko połącznie bezpośrednio ze siebie pokazałam slajdy do franczeska i franczesko powiedział że muszę do koniecznie zrobić u siebie stosowane urzenie może nie u ciebie w domu ale u nas i inny sposób to jest urządzenie które ma ścianę powietrzną nie da się go połączyć do internetu zapytajcie mnie o wszystko bardzo ci dziękuję Liska chociaż mamy kilka minut w pomieszczeniu znajduje się 8 mikrofonów proszę się przed nimi ustawić żeby zapytać pytania pierwsze z pytań będzie z internetu Jiska pytanie jest takie problemy z bluetooth czy one również pojawiają się w bluetooth niskiej energii nie jestem w stanie określić producenta ale są pewne urządzenia które zbywają chipu bluetooth gdzie jest to jeszcze gorsze stosu a czasami jest po prostu ta sama aplikacja działająca na tym samym rodzeniu i cedy nawet nie trzeba nic skalować kolejne pytanie dziękuję za prezentację czy gdy testujesz bluetooth niskiej energii i udajecie wykonać kod czy musisz czy musisz wtedy znaleźć jakąś eskalację to zależy nie mamy całego ńcucha podatności ale jest bardzo dużo różnych rzeczy w tym temacie w jakiś sposób testujesz ten chip w jakiś sposób dostajesz od niego firmware tak że nie potrzebujesz żadnych biperzy czy coś takiego i dla ewolucji jeśli chodzi o płyt to są symbole które na niej znaleźliśmy symbole czyli nazwy funkcji nazwy zmiennych ale to jest coś co udało nam się dostać kolejne pytanie z internetu czy wiedziałabyś co myślisz na temat wyłączników na urządzeniach bezprawdowych gdzie jest polis tam jest polis i on właśnie takie urządzenie buduje będzie o tym mówić na ten temat o 10 gdzie ma urządzenie które ma przyciski do wyłączania urządzeń bezprawdowych kolejne pytanie kupiliśmy nowy samochód i ma w nim bluetooth próbowałem połączyć do samochodu i strasznie było to ciężkie bo radio się resetowało i te radio musi połączyć się do kabli w samochodzie czy możesz mi pożyczyć ten samochód to Toyota Igo możesz go dostać wszędzie wow tak nie powinno to działać kolejne pytanie jeżeli dobrze rozumiem mówiła że producenci nie mówią czy to naprawi czy nie czy nie wiedzą w ogóle czy to naprawi to zależy jeżeli spojrzymy u aktualizacji uświeczeństwa w Outdry idzie to czasami jest napisane że broadcast został naprawiony ale w niektórych urządzeniach nie byłoby to w wrześniowym tylko w kolejnym wydaniu i wtedy trzeba byłoby to sprawdzać ręcznie jedna rzecz to to że jest publicznie zanocowane że zostanie coś naprawione a druga jest to to żeby coś było rzeczywiście naprywane i to nie zawsze się pokrywa na przykład iPhone 13 wspomniał nas ale nie naprawił tych rzeczy naprawdę czy sprawdza z różnicem między paczami między aktualizacjami tak czasami sprawdzamy takie rzeczy mamy student, który się tym dzieł i teraz emuje się iPhone'ami większość z tego robiłam ręcznie więc mam dobrze się orientuję co zostało zmienione pomiędzy pokoleniami wydaniami urządzeń kolejne pytanie z internetu jak dostała jak udało ci się wyciągnąć obraz stosu bludów część z tego jest na Frankensteinie a reszta jest na płysce deweloperskiej jest tam skrypt który próbuje znaleźć różne regiony pomiędzy jest pewna funkcja, która gdy zostaje wywołana to zatrzymuje cały system i z pewną informację w rejestrach które potrafiłem wykorzystać żeby wydobyć obraz kolejne pytanie czy otwarcie czy jest zrównika albo sprzętu poprawiłoby sytuację otwarte oprogramowanie poprawiłoby sytuację ale jedna taka rzecz o którym już mówiłam na innej konferencji to nie to że otwarte oprogramowanie jest ważne ale chodzi o to, że urządzenia Blutkomu są bardzo ograniczone jeżeli chodzi o naprawianie ich więc otwarte oprogramowanie w przypadku Blutkomu czyli jeżeli firmware jest wypalone w chipie to nie możemy zbyt dużo z tym zrobić odpowiedź jeżeli mamy oprogramowanie w ROMie to mamy tylko kilka miejsc na to żeby wrzucić łatki w oddzielną pamięć a potem mamy jeszcze problem z tym, że jest bardzo ograniczona pamięć operacyjna czy mamy jeszcze jakieś pytania? internet proszę twitter który z to został przetestowany na androidzie ponieważ jest nikt helka standardowy stos na testowaliśmy standardowy stos jeżeli chodzi o góry android co jest jakiś stary stos ale niedawno zmienili go na nowe Paniów sygnałów czy mamy więcej? tak z czego zrobione z czego jest twoja czapka? moja czapka to folia aluminiowa a na górze jest cyber coś które jest również ważne tak jak mówiłem wcześniej to tak naprawdę nie pomaga jeżeli chodzi o przemyślewanie radiowe bardziej pomogłoby wrzucenie telefonu do mixera bardzo dziękuję za świetne prezentacje proszę o applause dla Iski