GUARDICORE DESCOBRE VULNERABILIDADE PERMITINDO HACKEAR CONTROLE REMOTO DE TV E TRANSFORMÁ-LO EM DISPOSITIVO DE ESCUTA

Ainda que se venha há tempos falando do hackeamento de dispositivos IoT, os controles remotos de aparelhos de TV não haviam merecido atenção antes. A Guardicore encontrou a vulnerabilidade em um dos mais populares dispositivos do mercado nos EUA


A Guardicore, empresa de segmentação que oferece soluções disruptivas para o tradicional mercado de firewalls, descobriu um vetor de ataque atuando no controle remoto por comando de voz XR11, da Comcast, que transformava esse dispositivo em um aparelho de escuta. Esse modelo de controle remoto é dos mais difundidos no mercado americano, presente em cerca de 18 milhões de residências nos EUA. O ataque, denominado WarezTheRemotefoi remediado pela Comcast com a ajuda da Guardicore.

A técnica empregada é a conhecida como man-in-the-middle, em que, normalmente, um roteador Wi-Fi é empregado para interceptar conversas. No caso, foram utilizadas as ondas de radiofrequência que possibilitam a comunicação entre o controle remoto em si e seu set-top box ligado a ela para captar conversas, aproveitando vulnerabilidade na entrega de atualizações de firmware pelo ar para inserir software malicioso. Por isso a equipe do Guardicore Labs denominou o ataque WarezTheRemote, Warez significando software ilegalmente copiado.

A descoberta

hacker-1872304_1280-e1597960256574-1024x  

O ataque não exigia qualquer contato físico com o controle remoto visado ou com a vítima: qualquer transceptor RF de baixo custo permitiria ao hacker assumir um aparelho de controle remoto XR11. Usando uma antena de 16dBi, a equipe da Guardicore conseguiu ouvir conversas em uma casa a cerca de 20 metros de distância – que poderia ter sido ampliada facilmente com equipamentos mais potentes.

A pesquisa em segurança nos datacenters corporativos levou a equipe do Guardicore Labs a examinar dispositivos domésticos capazes de se conectarem com datacenters a distância. Nesse contexto, foi descoberta uma maneira de abrir um shell sobre Ethernet em um set-top box Xfinity X1 – o que ainda necessitava acesso físico ao hardware da caixa. Depois de relatar o problema à Comcast, a quem pertence a marca Xfinity, o time do Guardicore Labs decidiu examinar o controle remoto de voz XR11, que vem com o set-top box. O XR11 tem um botão de microfone que, pressionado, habilita comandos de voz para o decodificador, facilitando ao usuário mudar de canal, pesquisar programas de TV, encontrar recomendações, etc.

remote-control-4891936_1280-e16031499589  

Ao contrário dos equipamentos mais antigos, a comunicação do controle remoto com o set-top box não é feita por infravermelho, mas por radiofrequência. A combinação de recursos de gravação com comunicação por RF por si só pode ser bastante interessante para um hacker interceptar o som ambiente. Além disso, esse tipo de controle remoto é capaz de receber atualizações de firmware automaticamente pelo ar, o que facilita também sua invasão, chegando a ser o principal vetor de ataque para esse tipo de equipamento – e isso também já foi remediado pela Comcast, que passou a exigir uma autenticação para as atualizações.

Por meio de engenharia reversa do firmware do controle remoto e do software com o qual ele se comunica no decodificador, o time da Guardicore encontrou uma vulnerabilidade na maneira como o controle remoto lidava com os pacotes de RF de entrada. O controle remoto se comunica com o decodificador pelo protocolo RF4CE (Radio Frequency for Consumer Electronics), que é um subconjunto da família Zigbee de protocolos RF de economia de energia. Esse protocolo possui um recurso chamado “segurança” para criptografar o conteúdo dos pacotes RF4CE.

Em teoria, essa criptografia deveria ter evitado que um invasor externo injetasse seus pacotes na conexão. Porém, na implementação do XR11, a segurança RF4CE é definida pacote por pacote. Cada pacote RF4CE possui um byte de “sinalizadores” e quando um de seus bits é definido como 1, a segurança é habilitada para esse pacote e seu conteúdo será criptografado. Da mesma forma, se o bit não estiver definido, o pacote será enviado.

Ou seja, o firmware original do XR11 não verificava se as respostas às solicitações criptografadas também eram criptografadas. Assim, se um invasor dentro do alcance de RF respondesse às solicitações de saída (criptografadas) do controle remoto em texto simples, esse controle aceitaria suas respostas. Seria possível ao hacker aproveitar-se desse comportamento passando-se pelo conversor com qual o controle remoto havia sido emparelhado. Combinada à vulnerabilidade que permitia a instalação de uma imagem de firmware não assinada, o invasor seria facilmente capaz de instalar o software de escuta.

 

https://www.tecflow.com.br/wordpress/2020/10/22/guardicore-descobre-vulnerabilidade-permitindo-hackear-controle-remoto-de-tv-e-transforma-lo-em-dispositivo-de-escuta/