Freebox Revolution 電視播放器遙控器採用 ZigBee RF4CE 無線技術。該協定存在一些漏洞,頑固的攻擊者可以輕鬆利用這些漏洞來監視用戶的通訊等。
安全漏洞有時會出現在最不可能的區域。在「Nuit du Hack 2016」會議上,安全研究員 Renaud Lifchitz 表示,可以透過攔截遙控器和電視盒之間的通訊來控制三重播放盒。但仍需要一個條件。這些交換必須透過 ZigBee RF4CE 協議完成,法國 ISP 分發的模型就是這種情況“眾所周知”研究人員解釋道,但沒有透露這位演員的名字。
然而,演示期間顯示的螢幕截圖毫無疑問。這項研究於 2015 年底至 2016 年初進行,主題是 Freebox 革命的電視播放器。
ZigBee 無線網路技術廣泛應用於家庭自動化領域。它允許您互連作用半徑為 10 至 100 公尺的設備。 RF4CE 變體主要用於遙控器。與紅外線通訊相比,ZigBee RF4CE 具有許多優勢。無需瞄準遙控設備或註意亮度等級。此外,通訊是雙向的,並且可以使用 128 位元 AES 進行加密。
密鑰交換以明文形式完成
但有一個問題:要進行加密,您必須先在遙控器和裝置之間交換金鑰。不幸的是,這個過程(在配對時完成)非常不安全。
實際上,電視盒會將加密金鑰以明文形式傳送到遙控器。可以說,唯一實施的安全措施是將密鑰切成 37 個小塊,並以相對較低的信號電平連續發送,以限制攔截。就這樣。「我們在幾次竊竊私語的交流中淡化了關鍵。這是透過默默無聞實現的安全,僅此而已””,雷諾·利夫奇茨 (Renaud Lifchitz) 總結道。
這個過程——以低強度發送 37 個小片——對於 ZigBee RF4CE 標準來說也是非常獨特的:供應商顯然意識到了這個弱點並試圖限制損害。
據研究人員稱,恢復這把著名密鑰所需的只是一個 ZigBee 相容的無線電適配器、一個定向天線和一個放大器。此類設備的總成本將在 500 至 1000 歐元之間。如果距離不太遠,攻擊者就可以攔截這 37 個小塊並重建金鑰。而且他不需要等待配對的決定性時刻:他可以透過向電視盒發送大量關聯請求來觸發此過程,這將具有取消受害者遙控器配對的效果。因此,後者將不得不重新進行配對。
收聽訊息、訪問 Wi-Fi
一旦擁有密鑰,攻擊者將能夠攔截受害者的所有命令,特別是他們輸入的任何密碼。它還可以關聯自己的遠端控制和注入命令。那麼幾種操作場景都是可能的。他可以透過關閉設備並訂閱付費訂閱來執行拒絕服務。它還可以啟動藍牙功能以連接鍵盤、滑鼠或耳機。“在後一種情況下,攻擊者將能夠收聽受害者的語音訊息””,雷諾·利夫奇茨強調。
攻擊者還可以打開電子郵件用戶端或 Twitter 用戶端並代表用戶發送訊息。它可以關聯 DECT 電話並呼叫眼睛、接聽受害者的電話並監聽他們的訊息。最後,如果你在電視螢幕上有一個視角,它還可以恢復 Wi-Fi 密碼。然後,攻擊者將可以完全存取受害者的網路連接,從而為可能的攔截攻擊(中間人)敞開大門。
不可修補
不幸的是,用戶沒有辦法保護自己免受這種攻擊,因為該漏洞是在協議級別的。供應商也無法發布簡單的補丁,但可以透過修改或更改協議來改善這種情況。「藍牙 4.0 是一個不錯的替代方案,它在安全性方面幾乎是完美的。特別是,密鑰交換是根據橢圓曲線上的 Diffie-Hellman 演算法完成的 »”,雷諾·利夫奇茨補充道。
我們應該擔心這些類型的攻擊嗎?這完全取決於你是誰。考慮到要付出的努力和要購買的設備,如果目標只是免費上網或惡作劇鄰居,那麼這種攻擊不可能大規模進行,也不會有利可圖。但在監視重要目標的情況下,它可能會引起人們的興趣。最後請注意,Freebox 並不是唯一受此漏洞影響的裝置:所有使用 ZigBee 的裝置都可能受到這種方式的攻擊。對於法國營運商和某些供應商幾年前作為家庭自動化產品的一部分銷售的許多產品來說尤其如此。
