Bugs dans des milliards de WiFi, les puces Bluetooth permettent le mot de passe, le vol de données

Billions of WiFi chips vulnerable to code execution via Bluetooth component

Des chercheurs de l’Université de Darmstadt, de Brescia, du CNIT et du Secure Mobile Networking Lab, ont publié un article qui prouve qu’il est possible d’extraire des mots de passe et de manipuler le trafic sur une puce WiFi en ciblant le composant Bluetooth d’un appareil.

Les appareils électroniques grand public modernes tels que les smartphones sont dotés de SoC avec des composants Bluetooth, WiFi et LTE séparés, chacun avec sa propre implémentation de sécurité dédiée.

Cependant, ces composants partagent souvent les mêmes ressources, telles que l’antenne ou le spectre sans fil.

Ce partage des ressources vise à rendre les SoC plus économes en énergie et à leur donner un débit plus élevé et une faible latence dans les communications.

Comme les chercheurs le détaillent dans l’article récemment publié, il est possible d’utiliser ces ressources partagées comme ponts pour lancer des attaques d’escalade latérale des privilèges au-delà des limites des puces sans fil.

Les implications de ces attaques incluent l’exécution de code, la lecture de la mémoire et le déni de service.

Diagramme de partage de ressources de Google Nexus 5
Diagramme de partage de ressources de Google Nexus 5
Source : Arxiv.org

Multiples défauts d’architecture et de protocole

Pour exploiter ces vulnérabilités, les chercheurs devaient d’abord exécuter du code sur la puce Bluetooth ou WiFi. Bien que cela ne soit pas très courant, des vulnérabilités d’exécution de code à distance affectant Bluetooth et WiFi ont été découvertes dans le passé.

Une fois que les chercheurs ont réalisé l’exécution du code sur une puce, ils ont pu effectuer des attaques latérales sur les autres puces de l’appareil en utilisant des ressources de mémoire partagées.

Dans leur article, les chercheurs expliquent comment ils pourraient effectuer un déni de service OTA (Over-the-Air), exécuter du code, extraire des mots de passe réseau et lire des données sensibles sur des chipsets de Broadcom, Cypress et Silicon Labs.

CVE réservés pour le modèle de menace particulier.
CVE réservés pour le modèle de menace particulier.
Source : Arxiv.org

Ces vulnérabilités ont été affectées aux CVE suivantes :

  • CVE-2020-10368 : Fuite de données non cryptées WiFi (architecture)
  • CVE-2020-10367 : Exécution du code Wi-Fi (architectural)
  • CVE- 2019-15063 : Déni de service Wi-Fi (protocole)
  • CVE-2020-10370 : déni de service Bluetooth (protocole)
  • CVE-2020-10369 : Fuite de données Bluetooth (protocole)
  • CVE-2020-29531 : déni de service WiFi (protocole)
  • CVE-2020-29533 : Fuite de données WiFi (protocole)
  • CVE-2020-29532 : déni de service Bluetooth (protocole)
  • CVE-2020-29530 : Fuite de données Bluetooth (protocole)

Certaines des failles ci-dessus ne peuvent être corrigées que par une nouvelle révision matérielle, de sorte que les mises à jour du micrologiciel ne peuvent pas corriger tous les problèmes de sécurité identifiés.

Par exemple, les failles qui reposent sur le partage de mémoire physique ne peuvent pas être corrigées par des mises à jour de sécurité de quelque nature que ce soit.

Dans d’autres cas, l’atténuation des problèmes de sécurité tels que les défauts de synchronisation des paquets et de métadonnées entraînerait de graves baisses des performances de coordination des paquets.

Impact et remédiation

Les chercheurs se sont penchés sur les puces fabriquées par Broadcom, Silicon Labs et Cypress, qui se trouvent à l’intérieur de milliards d’appareils électroniques.

Toutes les failles ont été signalées de manière responsable aux fournisseurs de puces, et certains ont publié des mises à jour de sécurité dans la mesure du possible.

Cependant, beaucoup n’ont pas résolu les problèmes de sécurité, soit parce qu’ils ne prennent plus en charge les produits concernés, soit parce qu’un correctif de micrologiciel est pratiquement impossible.

Appareils testés par les chercheurs contre CVE-2020-10368 et CVE-2020-10367
Appareils testés par les chercheurs contre CVE-2020-10368 et CVE-2020-10367
Source : Arxiv.org

En novembre 2021, plus de deux ans après avoir signalé le premier bug de coexistence, les attaques de coexistence, y compris l’exécution de code, fonctionnent toujours sur les puces Broadcom à jour. Encore une fois, cela montre à quel point ces problèmes sont difficiles à résoudre dans la pratique.

Cypress a publié quelques correctifs en juin 2020 et a mis à jour le statut en octobre comme suit :

  • Ils affirment que la fonctionnalité de RAM partagée provoquant l’exécution de code n’a été « activée que par des outils de développement pour tester les plates-formes de téléphonie mobile ». Ils prévoient de supprimer la prise en charge de la pile pour cela à l’avenir.
  • La fuite d’informations de frappe est considérée comme résolue sans correctif car « les paquets de clavier peuvent être identifiés par d’autres moyens ».
  • La résistance au DoS n’est pas encore résolue mais est en cours de développement. Pour cela, « Cypress prévoit d’implémenter une fonction de surveillance dans les piles WiFi et Bluetooth pour permettre une réponse du système aux modèles de trafic anormaux. »

Selon les chercheurs, cependant, la résolution des problèmes identifiés a été lente et inadéquate, et l’aspect le plus dangereux de l’attaque reste en grande partie non résolu.

« Les attaques en direct via la puce Bluetooth ne sont pas atténuées par les correctifs actuels. Seule l’interface démon Bluetooth → puce Bluetooth est renforcée, pas l’interface RAM partagée qui permet l’exécution de code puce Bluetooth → puce WiFi. Il est important de noter que l’interface daemon→chip n’a jamais été conçue pour être sécurisée contre les attaques. » – lit le document technique.

« Par exemple, le patch initial pouvait être contourné avec un débordement d’interface UART (CVE-2021-22492) dans le firmware de la puce jusqu’à un patch récent, qui a au moins été appliqué par Samsung en janvier 2021. De plus, lors de l’écriture dans la RAM Bluetooth via cette interface a été désactivé sur les appareils iOS, l’iPhone 7 sur iOS 14.3 permettrait toujours à une autre commande d’exécuter des adresses arbitraires dans la RAM. »

EZpublish-france.fr a contacté tous les fournisseurs et a demandé un commentaire sur ce qui précède, et nous mettrons à jour ce message dès que nous aurons une réponse.

En attendant, et tant que ces problèmes liés au matériel ne sont pas corrigés, il est conseillé aux utilisateurs de suivre ces mesures de protection simples :

  • Supprimez les appariements d’appareils Bluetooth inutiles,
  • Supprimer les réseaux Wi-Fi inutilisés des paramètres
  • Utilisez le cellulaire au lieu du WiFi dans les espaces publics.

Pour terminer, nous dirions que les réponses aux correctifs favorisent les modèles d’appareils les plus récents, donc la mise à niveau vers un gadget plus récent que le fournisseur prend activement en charge est toujours une bonne idée du point de vue de la sécurité.