От привычных вещей обычно не ожидаешь подвоха. Взять, к примеру, пульт дистанционного управления: довольно сложно представить, что его можно превратить в подслушивающее устройство. Тем не менее именно это удалось сделать двум исследователям кибербезопасности JJ Lehman и Ofri Ziv из израильской компании Guardicore, о чем они и рассказали на RSA Conference 2021.
Как исследователям удалось взломать пульт ДУ
Предметом исследования JJ Lehman и Ofri Ziv стал пульт дистанционного управления от ТВ-приставки Comcast Xfinity X1, чрезвычайно популярной в США, — по оценке исследователей, количество владельцев таких кабельных приставок превышает 10 миллионов. Пульт поддерживает голосовые команды — для этого в нем установлены микрофон и не самый глупый в мире процессор.
Кроме того, в пульте задействованы две технологии передачи данных. Для переключения программ и прочих несложных действий используется стандартный инфракрасный передатчик, который обладает важным достоинством — он потребляет минимум энергии, так что пульт не нуждается в частой зарядке и может долго работать от обычных батареек.
Однако для тех случаев, когда нужна более высокая скорость передачи данных, в пульте также имеется радиоинтерфейс. Он позволяет не только отправлять, но и принимать данные от ТВ-приставки. Этот интерфейс потребляет больше энергии, поэтому используется только в случае необходимости.
Таким образом, этот пульт дистанционного управления, как и многие современные устройства, представляет собой небольшой подключенный компьютер — следовательно, с высокой вероятностью его можно взломать.
Исследователи смогли заполучить прошивку пульта (она хранилась на накопителе ТВ-приставки), а после ее изучения — сформулировать, что именно необходимо в ней изменить, чтобы пульту можно было отдавать команду на включение микрофона и передачу звука по радио.
Но, конечно, создать модифицированную прошивку мало — надо еще как-то загрузить ее в пульт, желательно бесконтактным способом. Для этого JJ Lehman и Ofri Ziv пришлось изучить механизм общения ТВ-приставки с пультом по радиоинтерфейсу и обновления его ПО.
В результате они выяснили, что процесс обновления может быть инициирован только пультом. Раз в 24 часа тот посылает приставке запрос, чтобы узнать, есть ли для него обновление, и получает либо отрицательный ответ, либо предложение установить новую версию прошивки. После чего начинает загружать ее.
Кроме того, исследователи обнаружили несколько важных недостатков механизма общения пульта с ТВ-приставкой Xfinity. Во-первых, аутентичность прошивки пульт никак не проверяет. То есть какую бы прошивку ни предложила приставка (или притворяющийся ею компьютер взломщика), он без всяких вопросов загрузит ее и установит.
Во-вторых, хотя обычно приставка и пульт обмениваются зашифрованными сообщениями, это не является обязательным условием взаимодействия. Пульт может получать команды открытым текстом с пометкой «шифрование отключено» и будет послушно выполнять их. Единственная сложность состоит в том, что запросы от пульта невозможно расшифровать. Однако зная, как устроено общение пульта и приставки, можно догадаться, что именно пульт спрашивает, и вовремя дать ему нужный ответ.
Получается что-то такое:
— YdvJhd8w@a&hW*wy5TOxn3B*El06%D7?
— Да-да, для тебя есть новая прошивка — загружай скорее!
— Cj@EDkjGL01L^NgW@Fryp1unc1GTZIYM.
— Отправляю файл, принимай.
В-третьих, в прошивке модуля самой приставки, отвечающего за общение с пультом, достаточно легко вызвать ошибку, после которой этот модуль уходит на перезагрузку. Это дает атакующему достаточное время, в течение которого отдавать команды пульту гарантированно будет только он.
Таким образом, для взлома пульта нужно:
- подождать и «угадать» запрос от пульта на загрузку обновления;
- сразу после этого «вырубить» модуль ТВ-приставки, отвечающий за общение с пультом;
- дать пульту положительный ответ и выдать для загрузки модифицированный файл.
Все это происходит бесконтактно, с использованием радиоинтерфейса.
В результате исследователи смогли загрузить в пульт модифицированную прошивку, которая посылала запрос на получение обновления не раз в 24 часа, а раз в минуту, и при получении особого ответа включала встроенный в пульт микрофон и транслировала звук атакующим. В качестве эксперимента они успешно опробовали работоспособность метода на сравнительно большом расстоянии и через стену, имитируя стоящий рядом с домом фургон прослушки.
Как защититься
По нашему мнению, сильно переживать о том, что ваш пульт от телевизора взломают и превратят в прослушивающее устройство, не стоит. Судя по всему, это хоть и осуществимый на практике, но все же весьма экзотический вариант взлома, который может быть уместен разве что для целевой атаки на какого-нибудь очень непростого человека. С другой стороны, даже если вы параноик, это не значит, что за вами никто не следит. Поэтому вот несколько советов для самых осторожных:
- Если вы пользуетесь ТВ-приставкой Xfinity, имеет смысл проверить, чтобы в пульте была установлена самая свежая прошивка — в ней проблема уже решена.
- Вероятно, пульты дистанционного управления некоторых других производителей телевизоров и ТВ-приставок с поддержкой голосовых команд работают по тому же принципу, и в них могут быть схожие уязвимости. Поэтому периодически проверяйте наличие обновлений для пульта и устанавливайте их, когда они появляются. Соответствующий пункт в настройках телевизора или приставки, скорее всего, найдется где-то рядом с настройками Wi-Fi и Bluetooth.
- Если ваш пульт поддерживает голосовые команды, но вы ими вообще не пользуетесь, а о возможности прослушивания переживаете, вы можете разобрать пульт и физически избавиться от микрофона. Не то чтобы мы считали это необходимым, просто имейте в виду, что существует такой вот радикальный вариант решения проблемы.
- Также имейте в виду, что значительно более вероятный вариант атаки — это взлом вашей сети Wi-Fi. Поэтому ее следует безопасно настроить, отселить все уязвимые IoT-устройства в гостевую сеть, а при передаче особенно ценных данных использовать защищенное соединение.