Wyciąganie klucza sieci WiFi z inteligentnych żarówek

dodał 4 lipca 2014 o 22:52 w kategorii Wpadki  z tagami:
Wyciąganie klucza sieci WiFi z inteligentnych żarówek

Jeśli podajemy klucz do własnej sieci WiFi swojej inteligentnej żarówce, to musimy liczyć się z tym, że żarówka, nie będąc odpowiednio przeszkolona, może na przesłuchaniu puścić farbę i ten klucz wyjawić. Technika przesłuchania nie jest jednak prosta.

Kilkanaście miesięcy temu na rynek trafiły inteligentne żarówki LIFX. Możemy ich zamontować dowolną ilość. Pierwszej z nich wystarczy podać hasło do swojej sieci WiFi, by móc sterować wszystkimi żarówkami naraz lub każdą z osobna. Można je zapalać, gasić, zmieniać ich jasność oraz kolory czy też programować ich cykl działania – a to wszystko oczywiście za pomocą aplikacji mobilnej. Można także je zapytać o hasło dostępu do WiFi.

Żarówki takie sprytne

Żarówki LIFX działają w topologii siatki. W komunikacji między sobą posługują się protokołem 6LoWPAN, opartym na standardzie IEE802.15.4, w którym działa większość urządzeń inteligentnych domów. Aby jednak być dostępne z poziomu aplikacji na smartfonie, żarówki muszą połączyć się najpierw z siecią WiFi. By oszczędzać energię tylko jedna z nich, przyjmująca rolę dominującą, nawiązuje połączenie WiFi, komunikując się z pozostałymi koleżankami przez 6LoWPAN. Każda z żarówek posiada jednak możliwość zastąpienia dominującej na wypadek np. awarii. W tym celu w momencie podłączania do gromady koleżanek każda nowa żarówka otrzymuje od żarówki dominującej informacje zawierające dane dostępowe do sieci WiFi. Brzmi jak początek ciekawego eksperymentu, prawda?

Żarówka LIFX

Żarówka LIFX

Badacze tacy zawzięci

Specjaliści z firmy Context za punkt honoru postawili sobie wyciągnięcie od żarówek hasła dostępowego. Zaczęli z grubej rury, od analizy na poziomie protokołu 6LoWPAN. W tym celu zainwestowali w płytkę Atmela AVR Raven, obsługującą protokoły Zigbee i pokrewne. Dzięki niej mogli w Wiresharku orglądać pakiety wymieniane między żarówkami. O ile większość ruchu okazała się być dostępna dla potrzeb analizy, o tyle transmisja zawierająca klucze WiFi była zaszyfrowana. Badaczom udało się tylko wstrzyknąć do sieci swoje własne pakiety, dzięki którym mogli w niewykrywalny sposób zażądać dostarczenia zaszyfrowanego hasła do WiFi. Nie potrafili go jednak odszyfrować.

Kolejnym naturalnym krokiem była analiza oprogramowania żarówek. Z uwagi na fakt, że był to dość nowy produkt, wbudowane oprogramowanie nie miało jeszcze aktualizacji, które można pobrać ze strony www. Z tego powodu badacze musieli użyć „metody młotka” i wydobyć z żarówek płytki z układami scalonymi. Analiza wzrokowa pozwoliła ustalić tożsamość obu układów jako  Texas Instruments CC2538  oraz STMicroelectronics STM32F205ZG. Na szczęście dla badaczy oba udostępniały interfejs JTAG. Po krótkiej analizie złącza za pomocą odpowiedniego debuggera specjalistom udało się zrzucić oprogramowanie obu układów.

Szyfrowanie takie symetryczne

Wyszukując funkcje charakterystyczne dla procesu szyfrowania badacze szybko natrafili na procedury odpowiedzialne za to zadanie. Zauważyli, że urządzenia stosują szyfrowanie AES ze stałym, zapisanym w urządzeniu kluczem. Okazało się, że klucz jest identyczny dla każdej żarówki. Za jego pomocą specjalistom udało się odszyfrować pakiet zawierający dane dostępowe do sieci WiFi.

Z uwagi na niewielką ilość energii wykorzystywanej w protokole 6LoWPAN praktyczny zasięg, z którego można przeprowadzić atak na żarówki LIFX, wynosi ok. 30 metrów. Nie mówimy zatem tutaj o wielkim zagrożeniu, a bardziej o ciekawostce pokazującej, ze nawet pozornie przemyślane zabezpieczenia (mogli przecież przesyłać klucz otwartym tekstem) można pokonać przy odpowiednim poziomie zawzięcia. Badacze poinformowali o swoim odkryciu producenta i w kolejnej wersji oprogramowania klucz szyfrujący jest już pochodną hasła dostępu do sieci, zatem jego złamanie nie powinno być już takie proste.

Zainteresowanym tematem zagrożeń związanych z „internetem rzeczy” polecamy także historię hakowania inteligentnych żarówek Philipsa.

Podobne wpisy