В минувший четверг на конференции Infiltrate была раскрыта уязвимость в прошивке систем на чипе HiSilicon Balong, затрагивающая ряд смартфонов Huawei, а также модули WWAN некоторых лэптопов и IoT-устройств. Директор-распорядитель ИБ-компании Comsecuris Ральф-Филип Вайнман (Ralf-Philipp Weinmann) представил сценарий потенциальной атаки, позволяющий скрытно выполнить код без физического доступа к мобильному устройству. По словам исследователя, атака в данном случае достаточно трудоемка и сложна, что препятствует массовому использованию уязвимости.

Разработчиком baseband-сборок HiSilicon Balong на базе процессора приложений Kirin с интегрированным модемом 4G LTE является Hisilicon Technologies, подразделение Huawei Technologies. По свидетельству Вайнмана, эти чипсеты используются в ряде престижных смартфонов Huawei, в том числе в P10, Mate 9, а также в Honor 9, 7, 5c и 6.

Совокупное число уязвимых моделей в ходе исследования определить не удалось, однако, по оценкам, обнаруженная уязвимость повышает риски для десятков миллионов устройств. По данным Comsecuris, в третьем квартале прошлого года объем поставок Honor-смартфонов составил 33 млн, и половина из них предположительно используют чипсеты HiSilicon Balong.

Baseband-компонент отвечает за связь мобильного устройства с сетью сотового оператора, получение и отправку данных, а также совершение звонков. По свидетельству Вайнмана, который давно исследует уязвимости в прошивках baseband-компонентов, захват контроля над таким чипсетом позволяет мониторить коммуникации владельца телефона, совершать звонки, отправлять SMS на премиум-номера и осуществлять передачу больших объемов данных незаметно для пользователя.

В ходе презентации Вайнман раскрыл несколько уязвимостей, найденных в прошивке чипсета HiSilicon Balong, представив их как новую площадь атаки, заслуживающую внимания ИБ-сообщества. «Этот baseband-компонент намного легче эксплуатировать, чем другие, — заявил исследователь. — Не уверен, что вендор сделал это намеренно, но он против обыкновения опубликовал исходный код. Кроме того, гибкость этого baseband-импланта облегчает не только эксперименты с устройством, но также тестирование сетей».

Вайнман полагает, что HiSilicon выложила исходник прошивки Kirin как часть tar-архива разработчика, ассоциированного с данными по ядру Linux смартфонов Huawei H60. Углубленный анализ обнаружил дополнительные уязвимости в операционной системе baseband-процессора, поддерживающей стандарт POSIX.

Huawei на запрос Threatpost о комментарии не ответила.

Проведенное Вайнманом исследование показало, что чипсет HiSilicon Balong работает под ОС VxWorks и использует командную оболочку C-Shell. «Это открытие меня поразило, — говорит эксперт. — Она позволяет вызывать произвольные экспортируемые функции. Это не полнофункциональная оболочка, она позволяет решать лишь типовые задачи». Однако, несмотря на ограниченную функциональность C-Shell, Вайнману удалось сделать дамп и модифицировать содержимое памяти, получить информацию о задачах, запустить новые задачи и загрузить модули ядра на стандартном вводе.

Во время презентации исследователь также продемонстрировал несколько способов взлома телефонов с использованием функциональности IMS NIC для установки соединений в сотовой сети, невидимых из ОС Android. О возможности таких атак Вайнман предупреждал еще в 2011 году, выступая на конференции Black Hat. На тот момент он обнаружил баги в прошивке чипсетов от Qualcomm и Infineon Technologies, используемых в iPhone и Android-устройствах.

Один из сценариев взлома предполагает создание фальшивой базовой станции при помощи пакета с открытым исходным кодом OpenLTE. Имитируя оператора связи, можно отправить OTA специально сформированные пакеты, которые при обработке на уязвимом устройстве вызовут крэш через переполнение буфера в LTE-стеке. Последующая перезагрузка позволит атакующему внедрить руткит или бэкдор для обеспечения постоянного доступа к мобильному устройству.

Второй сценарий атаки требует наличия физического доступа к телефону, данных о закрытом ключе оператора связи и возможности установки программных инструментов в прошивку. «Он требует материала ключа, хранящегося у оператора и на SIM-карте, с тем чтобы пройти взаимную аутентификацию телефона и сети, — поясняет Вайнман. — Без материала ключа базовую станцию нельзя будет выдать за легитимную сеть по отношению к устройству». Из-за этих условий уязвимость, по словам исследователя, можно оценить как низкой степени опасности.

Вайнману удалось снизить сложность и стоимость тестирования путем создания собственной среды VxWorks на основе ознакомительной версии VxWorks 7.0, выпущенной вместе с микроконтроллером Intel Galileo несколько лет назад. Это позволило запустить на baseband-компоненте скриптовый интерпретатор Lua в продолжение исследования.

Стоит также отметить, что агрессивное тестирование подобных технологий сопряжено с риском, так как американское законодательство запрещает несанкционированный перехват лицензированных частот, используемых операторами связи.

Прочие подробности обнаруженной Вайнманом уязвимости пока не разглашаются, чтобы дать Huawei возможность исправить ошибки и выпустить патч. «Я рассказал лишь о находках низкой степени опасности, — признал эксперт. — Более опасные вещи пока подождут».

Категории: Аналитика, Уязвимости