一億台以上のデバイスに使われるBluetoothチップに発見されたドキュメントにないバックドアとは
引用元:https://news.ycombinator.com/item?id=43301369
タイトルはちょっと誤解を招くかも。読んでみたら、‘バックドア’は自分のUSB Bluetoothアダプタのメモリや低レベル機能を覗いたり操作したりする機能っぽいから、無線越しには使えないんじゃないかな。こういう未文書のデバッグコマンドはよくあることで、何度も逆アセンブルして見つけたことがある。これ単体では大きな問題とは思わない。もしこれがホスト以外から使えたら話は変わるけど。
オープンハードウェアの観点から見ると、こういう大げさな見出しは迷惑。デバッグインターフェースやファームウェア更新が’バックドア’や’セキュリティの脆弱性’とされるのは、全てを閉じ込める結果になってしまう。Espressifはこの分野でほぼ唯一のオープンさを持っていて、ツールチェーンやモデムスタックの逆アセンブルを奨励しているのに、こういう悪い宣伝が返ってくるのは悲しい。
HCIコマンドは、さらに別の欠陥がない限り遠隔からはアクセスできない。記事の重要な部分は、『BluetoothスタックがHCIコマンドをデバイスでどう扱うかによって、悪意のあるファームウェアや不正Bluetooth接続を通してのリモートな悪用が可能かもしれない』ってこと。安全なドライバスタックを持ち、ローカルコードを信頼すれば、HCIのベンダー拡張は問題ないはずだけど、HCI拡張はセキュリティホールになり得る。
もしコンピュータが自分のBluetoothアダプタのメモリを覗いたり操作しているとしたら、Web Bluetooth APIの上で動いているソフトウェアが関係してるかも。悪化しないことを願うけど、最悪の場合、信頼できるソフトがBluetoothアクセスを必要として許可した結果、マルウェアが残ってしまう可能性も。無文書のアクセスがあるのは、特に持続性が問題になると、悪影響が大きい。
想像してみて。半信半疑のソフトを信じてBluetoothアクセスを許可した結果、結局マルウェアが残ると、最悪の事態になるかも。だけど、そんな環境を持ってる人はほぼいない。さらに、このチップセットはIOTデバイスにしか使われてないから、恐れたように使えるわけじゃないし、書き込み可能なメモリも持ってるのか疑問だ。
なるほど、‘PCがESPを無線のために使うことはない、ESPは無線をするデバイスとして使われる’って思っていたんだけど、気づかなかった。Bluetoothチップを聞くとNordicsを思い浮かべるけど、PCがANT+を話すためにUSBポートに入れるドングルがNrf52だったりする。
>最悪のケースを無視して、半信半疑のソフトを許可した結果、マルウェアが残るかもしれない。4つのセキュリティ境界を越えてハードウェアアクセスを許すのは危険で、リスクを理解してないなら何が起きてもおかしくない。仮想Bluetoothデバイスを使って、ハイパーバイザーに実際のデバイスを操作させる方が安全だよ。
攻撃者が別の脆弱性からアクセスを得た場合、この機能は役立つかもしれない。ESP32がホストシステムにシリアルリンクで接続されたモデムとして使われている場合、攻撃者は文書化されてないコマンドを使ってBluetoothデバイスを攻撃することも考えられる。ホストデバイスにルート権限がなくてもできるかも。
その通り。研究は良い。ソフトウェア開発者はHCIがこんな制御を持つとは思ってないから、未文書なため脅威モデルに含まれず、ユーザースペースから予期せず利用可能になる。‘バックドア’と呼ぶのは間違ってないけど、誤解を招くのも事実。ここでの脅威は、予想外の能力を持つコンテキストの持続性にある。
>ソフト開発者はHCIがこんな制御を持つとは思ってないから、未文書なため脅威モデルに含まれず、ユーザースペースから予期せず利用可能に。この可能性は現代のIO周辺機器スタックを知ってるソフト開発者には明らかで、OSドライバの設計ミスに対しての防御策はほとんどない。ドキュメントがない限り、こうした機能を持たないと考えるのは甘い。
そうだね、でも…実際のプロジェクトでESP32のHCIを外部にさらすやつっている?Hackadayの記事とかで見かける”Your ESP32 As A USB Bluetooth Dongle”みたいなやつくらいじゃない?それ見て”いいね”って思って、あとは忘れるみたいな。もし実際にそんなデバイスを見つけたら、いい脱獄ベクトルになりそうだけど、脱獄が必要なデバイスかどうかは分からないし、特に意味がない気もする。
>理論的には、攻撃者は未文書のコマンドを使って近くのBluetoothデバイスをスキャン、偽装、攻撃する可能性がある。ESP32をホストしているデバイスでroot権限を取得しなくてもできるかもって、これってノートパソコンが乗っ取られた時と何が違うの?aircrack-ngとかを使えるようになるのは同じじゃない?
そんなに違わないかも。普通の”pwn”より簡単かもしれないし、root権限がなくてもできるかもだけど、これはTFAに書いてあることに基づいた私の仮説ね。
もしUSBなら、ChromeのJSで直接できるはずだよ。
WebUSBはデバイスがUSBディスクリプタでオプトインしないといけない。そうじゃないと、ファームウェアの更新ができるUSBデバイスはこの問題を抱えることになるかも。ここでの問題はWebSerialかもね、HCIはシリアルポートデバイスを通じてくるから。ホストのドライバがBluetoothアダプタとして受け取ったら、OSはシリアルデバイスへのアクセスをブロックするべきだと思うけど。
>WebUSBはデバイスがUSBディスクリプタでオプトインしないといけない。確か、あの制限は取り除かれたはず。
>普通の”pwn”より簡単かもしれないし、root権限がなくてもできるかも。これはIOTデバイスだから、全てがrootで動いてるよ。
私のノートパソコンには、この”脆弱性”について何も書かれていない10ページのクイックスタートガイドが付いてきた。Wi-Fiチップが混信モードに入ったりパケットを注入できるかどうかを知るには、ボランティアが维护しているWikiをチェックしなきゃいけない。
じゃあ、悪意のあるIoTデバイスやツールを作れないか?ちょっと疑問で、他のエクスプロイト経由でのアクセスが必要な理由が分からない。Bluetoothの知識があまりないんだけど、近くのデバイスを”スキャン”、“偽装”、“攻撃”するって、ターゲットがすでに接続しているデバイスのこと?くだらない質問でごめん。
理論的には攻撃者は、非文書化されたコマンドを使って周囲のBluetoothデバイスをスキャンしたり、偽装したり、その他の攻撃をすることができる。で?デバイスは乗っ取られたってことじゃん。Bluetoothチップが特殊な魔法の防御装置だと思ってたの?物理的な外部の行動者をどうやって止めるの?「ここにESP32禁止」って書いた看板でも貼ってるの?
読んだ感じ、これは大騒ぎしすぎなんじゃない?OS内からディスクドライブのファームウェアを書き換えられるってことを知るまで待とうぜ。 @iracigt:スノーデンが発表した信じられない機密情報を知っていたり、期待していたりした人が多くいたが、秘密にしておいて一般的な言葉で話し合っていたんだ。あなたが求めている「バックドア」の証拠は、別のスノーデン的なリーク、安価なプローブや脱獄、または高価で時間がかかるアナログ分析で得られる。現行の証拠と技術的実現可能性を見る限り、安価な中国のSoCに信頼を置かないほうがいい。大まかな結論として、現在のCCP管理下の中国製SoCがRF側からの悪用に弱い可能性が高い。クリティカルなインフラや家庭での使用には信じられない。西側の代替案としてはRaspberry Pi PICO 2 Wが推奨される。 つまり、Bluetoothの暗号を覗けるってことじゃん。どうやってそれがバックドアじゃないの? あなたは誤読してるみたいだね:>”この新しいツールを使って、TargolicはBluetooth機能の低レベルコントロールを可能にする隠されたベンダー固有のコマンドを発見した”。攻撃はBluetoothを介して行われる。USBCドライバを使って攻撃の可能性を探ったって話だ。 あなたが引用したものには、Bluetoothを介してのエクスプロイトがあるって意味はない。つまり、それが本当に正しいなら、もっと良い引用を見つけないといけないよ。 それだけでなく、USBCドライバじゃなくてCで書かれたUSBドライバだ。全てが間違ってる。元の記事は本当に不快で、今の情報を考えると実際には大したことじゃない。 私が受け取ったのは、悪意のある行為者が自分の製品でESP32チップを使ってこれらのコマンドを利用して、実質的にはトロイの木馬を配信する可能性があるってこと。『この超安いホームオートメーション製品を買って』が、私のネットワークにAPTをインストールすることになる。 それは正確な解釈じゃない。せいぜい、ESP32ラジオを使ったデバイスが任意のパケットを送信したり、MACアドレスを変更したり、メモリやレジスタに読み書きできるってことだ。>”この超安いホームオートメーション製品を買って”が、私のネットワークにAPTをインストールすることになる。って言っても、それはおかしい。ラジオ付きのデバイスを買うなら、悪意のあるファームウェアが任意のことをする可能性はあるって思うのは普通で、それがネットワークの管理権を持つことを意味するわけじゃない。 記事は誤解を招く内容で、攻撃者がコマンドを利用するなら既にデバイスを制御しているから、Bluetoothの仕組みを使って好きにできるんだ。問題は、ファームウェアが他人に適切に入力を検証せずにESPのBluetoothを使わせることができる場合だけど、これは珍しいケースだよ。 攻撃者がコマンドを使えるなら、そのデバイスのライフサイクル内で既に制御されてるのか、過去に制御されてたのかはどうなの?もしサプライヤーが意図的にかサプライチェーンの問題でデバイスを脆弱な状態にするなら、これも問題じゃない? これらのコマンドは、ROMブートローダーができることをやるんだ。HCIインターフェースを使うから問題になるかも。でも、実際にこの”バックドア”がどういうものか分からずに推測してるだけじゃないの?研究者自身がこのコマンドを”攻撃や監査の実施においてデバイスの多様性を高める”と説明してるから。 安いホームオートメーション製品を買うことが、そのままネットワークにAPTをインストールすることになる。意図があるならBluetoothにコードを隠す必要はなく、ファームウェアにそのまま書けばいいから。デバイス自体がトロイの木馬ってことだよ。 ESPHomeで再フラッシュできるピンにアクセスできるESP32製品を買うべき! 100%賛成だよ。ESPHomeはESP32を活用するのに最高だね。 安い中華IoTガジェットを購入して自宅ネットワークに接続するリスクは、どこにでもある話だよね? 安いホームオートメーション製品を買うことがAPTをインストールするってこと、最初からそういう前提じゃなかったっけ? 研究者が発見したのは、すでにコード実行を持つ人に低レベルの予想以上のアクセスを許す未文書のハードウェア機能なんだ。これを”バックドア”と呼ぶのはクリックベイトに過ぎない。 ちょっと混乱してるんだけど、Bluetoothスタックにいくつかの未文書のコマンドがあるの?もしこれがデバイス上で既に実行中のコードにしかアクセスできないんなら、バックドアとは呼べない気がする。 確かにBluetoothスタックがHCIコマンドをどう扱うか次第で、悪意のあるファームウェアや不正なBluetooth接続を通じて、このバックドアがリモートで利用される可能性があるかもね。でも、ここでの話はRCEではないと思うよ。 引用されてる内容がRCEを説明してないって、どういう意味?この悪意のあるファームウェアは実際に存在するのか、ESP32が出回ってる中でそれが入ってた可能性はどれくらいあるのかなど、疑問はたくさんあるけど、明らかにRCEを描写してるよ。 リモート攻撃ではないって言いたいんだ。Bluetoothアダプターを使ったコンピュータが自分のファームウェアをデバッグしたり修正したりすることは普通のことだし。問題は、このインターフェースが文書化されてないため、開発者が脅威モデリングを考慮してない可能性があるってことなんだ。 あなたは、文書化されてないコマンドがリモートで攻撃可能な状態にすることができないと言ってるの?これらのコマンドを実行するにはローカルでの実行が必要かもしれないけど、その影響やハードウェアへの潜在的な影響は分けて考えないといけないよ。 デバイスはプログラム可能として売られてるし、サプライヤーが自分のコードをロードして完全にコントロールしてる。それが売り文句でもあるんだ。さらに、EspressifはBluetoothアダプターの標準インターフェースを使ったコードも出してるから、サプライチェーン内の誰でもこのコマンドなしでファームウェアを変更できる。 ncやshはよく知られたツールだし、実行状態を検査できるし、様々な設定の影響が理解されてる。もし誰かが今まで知らなかったncを発見したら、そのソフトウェアは全く別のカテゴリに入るよ。 ここでの攻撃内容は新しいファームウェアをデバイスに再プログラムできること。でも、ターゲットデバイスに物理的に接続しないといけないから、実質的には新しい方法が一つ増えただけだよ。このバックドアは文書化されてなかっただけなんだ。 リモートアクセスを有効にするのにローカルアクセスが必要なら、それはRCEじゃないよ。 ”悪意のあるファームウェアや不正なBluetooth接続でバックドアが可能かも”って言ってるけど、悪意のあるファームウェアはRCEじゃないし、悪さするならその方法でできるんだよね。不正な接続は理論上の話で、まだ実証されてない。記事の見出しは実際の証拠以上に盛りすぎじゃない?エクスプロイトコードのデモを見せてもらってから評価を変えるよ。 同意。これは普通のことだし、ファームウェアのアップデートと大差ないよ。懸念されるのは、インバンドデバッグがファームウェアアップデートより必要な権限が少ないかもしれないところ。ユーザー空間のプログラムが悪意のあるペイロードを加える可能性もあるんだ。 理論的にはBluetoothラジオに低レベルアクセスがあるのは当然なんじゃない?こういう低レベルのインターフェースがある方が好きだな。ドキュメントがないのが問題かも。昔、QualcommのラジオをUSB経由で使ってロック解除してた時はフルOOBの読み書きだったから今のところは良いかも。 彼らのスライドがスペイン語であることはこちらです: 要約すると、ファームウェアをリバースエンジニアリングしてHCIコマンドを見つけたってこと。メモリの読み書き、パケット送信、MACアドレスの設定もできるけど、これってあんまりバックドアじゃないよね。デバイスに完全にアクセスしないとHCIコマンドを送れないから、すでにデバイスを操作できてるってこと。面白い研究だけど、”バックドア”って表現にはうんざりだな。多分、ジャーナリストが悪いんじゃない? 研究者自身がバックドアと呼んでるよ。彼らのサイトでの発表はこちら: MACアドレスを設定できるのは面白い事実。ネットで売られてる安いUSB BTアダプタには同じMACアドレスのものが多い。これは、個別のものにするのが面倒だったからかもしれないね。こういうサイトがあるから、いくつかのアダプタはよく知られたコマンドでMACアドレス変更できるよ。 ランダムなデバイスがEthernetケーブルでMACアドレスを変えたり、任意のパケットを送れるのが脅威じゃないと思う?ケーブルなしでそれができたら、白いバンで”無料キャンディー/BLE永続的脅威”って書いて走り回ることになるんだよ。無線で、ワーム可能で、任意のパケットを送って、無作為にデバイスをスプーフィングできるのに問題視しないの? 多くのデバイスがMACアドレスを変えることを許可してるのは知ってると思う。これは特に新しい話じゃないし、Ethernetの初めからそうだった。WindowsやAndroidのプライバシー機能では新しいネットワークに接続する際にランダム化されたMACが使われてるよ。 あなたのスマホはWiFiに接続するたびにランダムなMACを生成するよ。ハッカーの監獄で会おうね。 感染拡大は無さそうで、外部デバイスへの新たな攻撃はできなさそうだよね。 みんなカーネル空間で動くオペークなバイナリドライバーをインストールするのは平気なのに、どこかのドキュメントにないESP32のコマンドは危険視されてるって訳わかんない。昔なら面白がって何かに転用しようとしたはずだよ。 またハイプに乗っかってる奴がいる。無知な人たちを怖がらせて、リバースエンジニアリングコミュニティに悪影響を及ぼしてる。 こういうセンセーショナルな話は嫌だな。Espressifはもっとクローズドになる圧力を感じることになるだろうし。 もしドキュメント化されてたらこんな問題にはならなかったはず。 この件を心配してる人ってJTAGアクセスポートについて知らないんじゃないかな。 現代のマイコンなら製品版でJTAG/SWDを無効化するか、キー検証でアクセスを制限できる。しかし、未ドキュメントコマンドは無効化できないのが問題。持続的なマルウェアが入る可能性があるかも。ただし、あまり可能性は高くないが、セキュリティの観点から良くはないね。 これはユーザー用じゃないからだと思うけど、自分のライブラリのプライベートマクロやプライベート関数を全部ドキュメント化する? この研究は良いけど、見出しは悪いね。物理的アクセスが必要で、他の手段でできたことが多いから、”一般的なBluetoothチップに未ドキュメントのコマンドが見つかりました”ってタイトルの方が良い。 この話はハードウェアのハッキングには興味深いかもね。既存のハードウェアから余分な機能を得る正当な方法って感じだ。 俺もそう思った!ロックされたファームウェアをダウンロードするために使えるかも。LLMを使ってほとんどのコードをクリーンルームにする方法が分かった今、デバイスからファームウェアを抽出するのがもっと価値あることになりそうだ。 この記事の見出しはウソだね。Bluetoothチップにあるバックドアは、無線攻撃者がチップでコードを実行できるものだ。でもこの記事は、接続されたデバイスのドライバーがチップ上でコードを実行できるって言ってるだけだから、セキュリティ境界を侵害してない。 俺の記憶が正しければ、2010年頃にCCCでBluetoothのセキュリティがスイスチーズみたいだってプレゼンをしようとして、誰かが怒ってキャンセルされた事件があった気がする。 FWIW、ほとんどの人はESP32をBluetooth単体で使わないんだ。主にWi-Fi SoCだからさ。「10億台」はほとんどBT機能を使ってないならおかしい主張だ。 考えさせられたね。もうアセンブラのバイナリを使うのはやめよう。中間のバイトコードを使ってプライベートなVMでスタートするような、命令のホワイトリストを持って行くべきだと思う。 次の世界大戦は多分5分ももたないだろうね。核は無くても私たちを石器時代に逆戻りさせることができる。 俺たちのデバイスが一瞬で使えなくなるってこと? 最近聞いた中で最高の陰謀論は、CCPが偵察気球を使って中国製のラジオチップを持つすべてのデバイスを一瞬でDDOSモードに切り替えられるって話だ。それが起こったら公共インターネットの大部分が大混雑して著しい劣化を招く可能性がある。 これが面白い。そんな「DDOSモード」が存在した証拠あるの? それはボットネットで全然別の脅威だからね。ほとんどのボットネットはDDoSに使われることが多いけど、TP-LINKが国家安全保障の脅威だって非難されることはないから。ルーターの脆弱性を直そうとしてた人もいたくらいだし。 正直、これって陰謀ファンタジーっぽいよね。アメリカの陰謀論って最近ロシアの方ばっかりで中国と関係ないし。 >”最近聞いた中で最高の陰謀論は、CCPが偵察気球を使って中国製のチップを搭載したデバイスをDDoSモードに切り替えられるってやつ。これはひどい陰謀論だ。西側にいる中国のIOTデバイスが多すぎるから、CCPは気球を飛ばすまでもない。ファームウェアのアップデートを押し付ければDDoS信号を流せる。>”これが起きたら公衆インターネットが seriously degrade するかもって言ってるけどせいぜい2.4GHzの通信がダメになるだけで全てのWi-Fiネットワークが落ちるわけじゃない。5GHzや携帯通信は影響がないし、重要なシステムは有線接続で守られてるでしょ。もっとコメントを表示(1)
もっとコメントを表示(2)
nc -l 31337 | shを実行すると、システムがリモートで攻撃される状態になるかもしれないけど、それがncやshのRCE脆弱性を意味するわけじゃないんだ。nc -l 31337 | shを実行すると、システムがリモートで攻撃される状態になるね。誰かがそれをMastodonに投稿して、セキュリティカンファレンスで「Living off the Land: the Hidden Threat Within」ってタイトルで発表する前に早く言わないと。
https://www.documentcloud.org/documents/25554812-2025-rooted…
https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-…もっとコメントを表示(3)
