WarezThe Remote: Ataque que permite el control remoto de voz de Comcast

Los investigadores de seguridad que analizaron el control remoto de voz XR11 Xfinity de Comcast encontraron una forma de convertirlo en un dispositivo de escucha sin necesidad de acceso físico o interacción del usuario.

Apodado WarezThe Remote, el ataque permitió apoderarse del remoto y husmear en las conversaciones desde al menos 65 pies (unos 20 metros), haciendo posible un escenario de «camioneta estacionada afuera».

Cifrado unidireccional

A diferencia de los mandos regulares que utilizan infrarrojos, el XR11 de Comcast se basa en la radiofrecuencia para comunicarse con los decodificadores de cable y viene con un micrófono incorporado para permitir comandos de voz. XR11 es el modelo más antiguo del control remoto de voz X1, que controla la plataforma de entretenimiento de video X1. Hay más de 18 millones de unidades desplegadas en los hogares de todo EE.UU.

Los investigadores de Guardicore observaron de cerca el firmware del mando a distancia y el software del decodificador para entender cómo funciona la comunicación entre los dos dispositivos.

Encontraron una debilidad en la aplicación del protocolo RF4CE (Radiofrecuencia para Electrónica de Consumo) responsable de la encriptación de la comunicación.

«Sin embargo, resultó que en la implementación del XR11, la seguridad del RF4CE se establece paquete por paquete. Cada paquete de RF4CE tiene un byte «flags», y cuando uno de sus bits se establece en 1, se habilita la seguridad para ese paquete, y su contenido será encriptado. De la misma manera, si el bit no está configurado, el paquete será enviado en texto plano».

Guardicore

Descubrieron que el firmware del XR11 aceptaba respuestas en texto plano a peticiones cifradas del remoto. Esto permitió a un atacante que adivinó el contenido de una solicitud crear una respuesta maliciosa que se hizo pasar por un decodificador.

Además, no hubo comprobación de firmas para las actualizaciones del firmware, lo que permitió que se instalaran imágenes maliciosas.

La comprobación del firmware se produjo cada 24 horas y el paquete de solicitud está encriptado. Sin embargo, los investigadores de Guardicore notaron un byte no encriptado que indicaba que la solicitud estaba relacionada con el firmware, permitiéndoles adivinar el contenido.

Conociendo estos detalles, los investigadores podrían responder con un paquete de texto plano diciéndole al control remoto que una actualización de firmware está disponible y para flashear la unidad de prueba XR11.

En una prueba inicial, modificaron el firmware para hacer que uno de los LEDs del control remoto parpadeara de un color diferente:

Para activar el micrófono para la función de control de voz, los investigadores hicieron ingeniería inversa en el firmware del control remoto para encontrar el código del botón de grabación de voz.

Modificaron el software para que la solicitud de grabación se produjera cada minuto en lugar de sólo cuando se pulsara el botón. Una vez que respondieran a esta petición, la grabación sería posible durante 10 minutos.

Prepararse para un ataque de este tipo no es ciertamente fácil y requiere sólidas habilidades técnicas para hacer ingeniería inversa del firmware, crear parches que serían aceptados, y tener la paciencia de flashear el control remoto XR11.

Guardicore dice en un informe de hoy que les tomó cerca de 35 minutos empujar las modificaciones necesarias de manera confiable usando un transceptor de RF.

Por supuesto, el éxito del ataque también depende del transceptor. Uno más caro ofrecería resultados más consistentes. Utilizaron un ApiMote, que cuesta unos 150 dólares y que podía oír a una persona hablando a 4,5 metros de distancia del mando. Una muestra de la conversación grabada está disponible en el blog de Guardicore.

Comcast ha arreglado los problemas reportados por Guardicore, confirmando el 24 de septiembre que sus dispositivos XR11 ya no eran vulnerables al ataque de WarezTheRemote.

Actualización [10/07/2020]: En una declaración para BleepingComputer, Comcast subraya que las vulnerabilidades ya no afectan a los mandos de voz Xfinity X1, eliminando la posibilidad de un ataque WarezTheRemote.

Las correcciones también contienen mejoras de seguridad que ya no permiten entregar firmware no firmado a las unidades remotas de voz X1. Basándose en su revisión, Comcast cree que este ataque nunca fue usado contra sus clientes.

La compañía dijo que su esfuerzo por ofrecer productos seguros está integrado en todas las fases de desarrollo e implementación del producto (arquitectura, diseño, código y pruebas).

«Como parte de ese trabajo, nos comprometemos activamente con la comunidad de investigación de la seguridad mundial, y trabajamos rápidamente para abordar las cuestiones que nos señalan. Valoramos el trabajo de los investigadores de seguridad independientes y el importante papel que desempeñan en nuestro compromiso de mantener a nuestros clientes a salvo y seguros. Animamos a los investigadores a que nos contacten con cualquier problema a través de nuestra página de informes«, añadió la empresa.

Fuente: Guardicore

Comments are closed.