Los investigadores de seguridad que analizaron el XR11 Xfinity Voice Remote de Comcast encontraron una manera de convertirlo en un dispositivo de escucha sin necesidad de acceso físico o interacción del usuario.
Apodado WarezThe Remote, el ataque permitió tomar el control del control remoto y espiar conversaciones desde al menos 65 pies (unos 20 metros), haciendo posible un escenario de «camioneta estacionada afuera».
Cifrado unidireccional
A diferencia de los controles remotos normales que usan infrarrojos, el XR11 de Comcast se basa en la radiofrecuencia para comunicarse con los decodificadores de cable y viene con un micrófono incorporado para permitir comandos de voz. XR11 es el modelo más antiguo del X1 Voice Remote, que controla la plataforma de entretenimiento de video X1. Hay más de 18 millones de unidades desplegadas en hogares en los EE. UU.
Los investigadores de Guardicore observaron de cerca el firmware del control remoto y el software del decodificador para comprender cómo funciona la comunicación entre los dos dispositivos.
Encontraron una debilidad en la implementación del protocolo RF4CE (Radio Frequency for Consumer Electronics) responsable de encriptar la comunicación.
«Sin embargo, resultó que en la implementación del XR11, la seguridad RF4CE se establece paquete por paquete. Cada paquete RF4CE tiene un byte de» banderas «, y cuando uno de sus bits se establece en 1, la seguridad está habilitada para ese paquete, y su contenido se cifrará. Asimismo, si no se establece el bit, el paquete se enviará en texto plano «. – Guardicore
Descubrieron que el firmware XR11 aceptaba respuestas de texto sin formato a solicitudes encriptadas desde el control remoto. Esto permitió que un atacante que adivinara el contenido de una solicitud creara una respuesta maliciosa que se hacía pasar por un decodificador.
Además, no hubo verificación de firmas para actualizaciones de firmware, lo que permitió instalar imágenes maliciosas.
La verificación del firmware se realizó cada 24 horas y el paquete de solicitud está encriptado. Sin embargo, los investigadores de Guardicore notaron un byte no cifrado que indica que la solicitud estaba relacionada con el firmware, lo que les permitía adivinar el contenido.
Conociendo estos detalles, los investigadores podrían responder con un paquete de texto sin formato que le diga al control remoto que hay una actualización de firmware disponible y que actualice la unidad de prueba XR11.
En una prueba inicial, modificaron el firmware para que uno de los LED del control remoto parpadeara con un color diferente:
Para activar el micrófono para la función de control de voz, los investigadores realizaron ingeniería inversa del firmware del control remoto para encontrar el código para el botón de grabación de voz.
Modificaron el software para que la solicitud de grabación ocurriera cada minuto en lugar de solo cuando se presionó el botón. Una vez que respondieran a esta solicitud, sería posible una grabación durante 10 minutos.
Prepararse para tal ataque ciertamente no es fácil y requiere habilidades técnicas sólidas para realizar ingeniería inversa del firmware, crear parches que serían aceptados y tener la paciencia para actualizar el control remoto XR11.
Guardicore dice en un informe de hoy que les tomó alrededor de 35 minutos impulsar las modificaciones necesarias de una manera confiable utilizando un transceptor de RF.
Por supuesto, el éxito del ataque también depende del transceptor. Uno más caro ofrecería resultados más consistentes. Usaron un ApiMote, que cuesta alrededor de $ 150 y podía escuchar a una persona hablando a 15 pies (4.5 metros) del control remoto. Una muestra de la conversación grabada está disponible en la publicación del blog de Guardicore .
Comcast ha solucionado los problemas informados por Guardicore, confirmando el 24 de septiembre que sus dispositivos XR11 ya no eran vulnerables al ataque WarezTheRemote.
Actualización [10/07/2020] : En un comunicado para BleepingComputer, Comcast subraya que las vulnerabilidades ya no afectan a Xfinity X1 Voice Remotes, eliminando la posibilidad de un ataque WarezTheRemote.
Las correcciones también contienen mejoras de seguridad que ya no permiten entregar firmware sin firmar a las unidades X1 Voice Remote. Según su revisión, Comcast cree que este ataque nunca se utilizó contra sus clientes.
La compañía dijo que su esfuerzo por ofrecer productos seguros está integrado en todas las fases del desarrollo y la implementación del producto (arquitectura, diseño, código y pruebas).
«Como parte de ese trabajo, nos relacionamos activamente con la comunidad de investigación de seguridad global y trabajamos rápidamente para abordar los problemas que nos traen a nuestra atención. Valoramos el trabajo de los investigadores de seguridad independientes y el importante papel que desempeñan en nuestro compromiso de mantener a nuestros clientes seguro y protegido. Alentamos a los investigadores a comunicarse con nosotros con cualquier problema a través de nuestra página de informes «, agregó la compañía.
Vía: Bleepingcomputer