Crazyradio PA
TOETSENBORD-REMOTE
Dat bleek eenvoudig: de dongle doet zich voor als een usbtoetsenbord
Deze kleine radio-stick dient eigenlijk voor het op afstand besturen van drones. Maar hackers kunnen er ook draadloze muizen en toetsenborden mee overnemen. Ook bij PowerPoint-presentaties kan de stick van pas komen.
Met de Crazyradio PA kunnen hackers misbruik maken van de onveiligheid van invoerapparatuur die via radiosignalen met een pc communiceert, zoals muizen en toetsenborden. De fabrikant bitcraze heeft het apparaat eigenlijk ontwikkeld voor het op afstand bedienen van de eigen Crazyflie-quadrocopter. Hij wordt standaard dan ook geleverd met firmware voor dronebesturing.
Maar in de handen van een hacker duurt dat niet lang. Die weet namelijk wel raad met de radiochip van het type nRF24LU1+, die de fabrikant ook heel praktisch heeft voorzien van een zend- en ontvangstversterker. Daarmee wordt het bereik vergroot tot wel een kilometer. Als je andere firmware op de stick zet, kan die de zogeheten promiscuous mode gebruiken. In die modus vangt de Crazyradio alle pakketten op die voorbijkomen, ook al zijn ze niet gericht aan het MAC-adres van de radiostick. Daardoor kun je op de 2,4GHz-band uitkijken naar andere
apparaten die dezelfde chip gebruiken en ermee communiceren. Die nRF24-chips kom je heel vaak tegen in draadloze muizen en toetsenborden. Dat is natuurlijk een dankbaar doelwit voor hackers, omdat daarmee vaak gevoelige gegevens zoals wachtwoorden worden ingevoerd.
MOUSEJACK
Toen de hacker Marc Newlin verschillende draadloze desktop-sets met de genoemde chip onderzocht, ontdekte hij dat veel van die toetsenborden en muizen hun gegevens niet versleutelen. Andere gebruiken de AES-coprocessor van de nRF24 wel om de toetsaanslagen te versleutelen, maar niet die van de muis.
Dat bracht Newlin op het idee om zich met Crazyradio bij de ontvanger aan te melden als muis, om gegevens onversleuteld te kunnen versturen. In plaats van muisklikken verzond Newlin echter toetsaanslagen. Dat bleek in de praktijk gewoon te werken: de MouseJack-aanval was geboren.
Sommige usb-ontvangers controleren niet of het bij de zogenaamd van de muis afkomstige onversleutelde pakketten wel gaat om muisinvoer. Ze accepteren ook toetsenbordopdrachten via dat kanaal. Op die manier kan een pc vanaf afstand draadloos overgenomen worden. De MouseJack-software en de bijbehorende firmware voor de stick zijn kosteloos beschikbaar op internet.
POWERPOINT-CHAOS
Er was nog niet zo veel bekend over draadloze apparaten zoals een zogeheten ‘wireless presenter’ waarmee je PowerPointpresentaties bedient. Ook sommige daarvan gebruiken de nRF24-chip, zoals bepaalde hardwarerevisies van de populaire Logitech Presenter R400. Een gebruiker hoeft aleen de bijbehorende draadloze ontvanger via usb aan te sluiten op een computer en kan dan vervolgens gewoon door de PowerPoint-dia’s bladeren. Dat lijkt vrij ongevaarlijk. De pentesters van SySS vroegen zich af hoe dat eigenlijk werkte.
Dat bleek heel eenvoudig: de dongle doet zich gewoon voor als een usb-toetsenbord. Druk je op de knop ‘volgende’ of ‘vorige’ op de Presenter, dan verstuurt hij draadloos de toetsaanslag Page Up respectievelijk Page Down naar de computer. De pentesters van SySS onderzochten met de Crazyradio PA de draadloze verbinding tussen de Presenter en dongle en ontdekten dat daarbij geen enkele versleuteling wordt gebruikt. De security-experts verstuurden vervolgens andere letters buiten die toetsaanslagen naar de ontvanger. Die werden klakkeloos geaccepteerd. Als ze de code voor de toets a verzonden, werd op de pc op de a gedrukt. Op die manier kunnen willekeurige commando’s worden verstuurd.
De mogelijkheden van zo’n aanval houden niet op bij het voor de grap inbreken op een lezing om ineens een Rick Astley-video op het grote scherm te toveren. Zoals bij alle toetsenbordaanvallen is ook een permanente infectie van het getroffen systeem mogelijk. Als je echt op safe wilt spelen, kun beter uitwijken naar een wireless presenter die via bluetooth werkt.