Хотя ценность самого исследования экспертов из Испании не подвергается сомнению, именно слово «бэкдор» породило достаточно любопытную дискуссию на тему производственных секретов в популярных устройствах и их относительной опасности. Отличную статью по этому поводу Ксено Кова из компании Dark Mentor, в прошлом разработчик в Apple, занимавшийся в том числе безопасностью Bluetooth. По его словам, бэкдором эти недокументированные команды называть все же нельзя, но это не означает, что их существование в большинстве популярных Bluetooth-модулей полностью безопасно.
Для начала кратко пройдемся по исследованию Мигуэля Тараско Акуны и Антонио Васкеса Бланко из компании Tarlogic. В презентации на конференции RootedCON (опубликованы на испанском языке) они показали, как с помощью кастомного драйвера (фрагмент которого показан на скриншоте выше) обнаружили ряд скрытых команд в чипе ESP32. Всего было обнаружено 29 команд, позволяющих производить запись и чтение в память Bluetooth-модуля и из нее, подменять MAC-адрес устройства и так далее. В других обстоятельствах это можно было бы однозначно квалифицировать как бэкдор, но здесь речь идет о командах, которыми обмениваются устройство и беспроводной модуль, применить их «снаружи» нельзя.
Ксено Кова из Dark Mentor в своей публикации помогает определиться с терминологией. В контексте работы с Bluetooth-модулем речь идет о командах, пересылаемых через Host Controller Interface между собственно основным устройством или хостом и беспроводным контроллером. Помимо стандартных команд для работы с Bluetooth-устройствами (поиск устройств, подключение и так далее), HCI у всех производителей содержит набор так называемых vendor-specific commands. Они зарезервированы для специфических для каждого устройства операций. Это может быть и обновление прошивки, и чтение данных со встроенных в модуль датчиков, и многое другое.
Вендорский набор команд в некоторых случаях может быть документирован, но чаще информация о нем доступна только производителю или компаниям, которые внедряют устройство. В частности, приводится пример, когда модуль от Broadcom имеет кастомный набор команд от компании Apple в модулях, которые встраиваются в ноутбуки этого производителя. Ксено Кова приводит пример, когда в устройствах компании Cypress также есть вендорские команды для чтения и записи в память Bluetooth-модуля, причем информация об этом есть в публичном доступе. Если переложить свежий громкий заголовок на такие реалии, получается «документированный бэкдор».
Тем не менее возможность использования vendor-specific commands для проведения атак была показана на практике. Самый интересный случай — относительно свежее компании Synacktiv: они использовали возможность записи в оперативную память Bluetooth-модуля для проведения атаки типа «побег из песочницы» на мультимедийную систему автомобиля Tesla 3. Более ранняя 2020 года показывает, как можно скомпрометировать функциональность модуля Wi-Fi через возможность записи данных в память беспроводного модуля через стек Bluetooth.
В своей публикации Ксено Кова все же называет возможность записи данных в память Bluetooth-модуля (а также изменение данных в прошивке, запись в регистры) плохой практикой с точки зрения безопасности. Но насколько реалистичны атаки с использованием таких «уязвимостей» — зависит от конкретного устройства, в котором модуль используется, и общей модели безопасности. Любая атака с помощью недокументированных возможностей ESP32 предполагает компрометацию хоста. Далеко не во всех случаях это несет хоть какую-то практическую выгоду. Более того, ESP32 поддерживает механизм Secure Boot, который может сделать невозможным некоторые и так теоретические атаки, но его внедрение (а также использование других средств защиты) является ответственностью производителя устройства, а не разработчика модуля.
Главный вывод: называть бэкдором подход, который применяют абсолютно все производители Bluetooth-модулей, нельзя. Даже если этот подход не оптимален с точки зрения безопасности. Тем не менее, по следам исследования команды Tarlogic, недокументированным командам в ESP32 был присвоен идентификатор уязвимости .
Что еще произошло
Два новых исследования экспертов «Лаборатории Касперского» рассказывают о необычных методах маскировки вредоносного ПО: в одном случае под , в другом — под .
На прошлой неделе мы о взломе и краже огромной суммы в валюте ETH у компании Bybit. На момент подготовки этого материала была не до конца прояснена роль поставщика криптовалютных сервисов Safe{Wallet} в данной атаке: представители Bybit и нанятые ими специалисты утверждали, что атака стала возможной в результате компрометации инфраструктуры Safe для проведения платежей; представители Safe взлом отрицали. 6 марта в Safe все-таки признали факт взлома и выдержки из независимого расследования компании Mandiant. В нем говорится о том, что был взломан компьютер разработчика Safe{Wallet} и через него был получен доступ к кодовой базе сервиса.
Microsoft масштабной атаки на пользователей пиратских стриминговых веб-сайтов. Через модифицированные рекламные объявления посетителей таких сайтов заражали вредоносным ПО, направленным на кражу чувствительных данных. Данная атака примечательна еще и тем, что в качестве хостинга для вредоносного кода использовался сервис GitHub.
Специалисты по безопасности из Google опубликовали подробный об уязвимости в процессорах AMD, о которой мы .
