Svenska ElektronikForumet

Kan en ARM CPU som är kopplad via ett McBSP gränssnitt till en perferienhet som t.ex utgörs av ett UMTS chip för mobiltelefonnät. Bli utsatt för att perferinheten kan styra eller ändra i minnet på ARM processorn utan processorns kontroll på liknande sätt som är möjligt med PCI bussen på en PC?

Exemplet är från den öppna smartphonen som kallas Openmoko GTA04 och som använder UMTS chippet TI Calypso D751992AZHH/GTM601 som klarar upp till 14,4 Mbit/s i nerhastighet. Hur den kopplas in kan ses i GTA04 schemat på sidan 10.

Scenariot är att radiogränssnittets operativ såsom t.ex Nucleus RTOS hackas och fungerar som språngbräda in i ARM-processorn. Har man t.ex kontroll över en I/O processors firmware på ett nätverkskort som sitter på en PCI-buss så kan man också styra hela maskinen. En startvektor är ett speciellt utformat nätverkspaket som triggar befintlig svaghet.

McBSP = Multichannel buffered serial port, en variant av SPI.
PCI bussen kan skyddas från elaka perferienheter med IOMMU.

dmesg
gta04 schematics info
gta04 downloads

Naturligtvis omöjligt att svara på.

Scenariot bygger på att ARM koden har en svaghet. Osannolikt att man "bygger in" kod för som skulle fungera så "omedvetet".

Att slå ut telefonen den vägen är troligen tusen gånger lättare dock.

Läste en artikel av en säkerhetsexpert som granskat koden som körs i radiodelen och hävdade att denna var sårbar för angrepp via radiogränssnittet. Frågan är om radioprocessorn blir övertagen, kan den i sin tur bryta sig in i huvudprocessorn.

Exemplet ovan är för Openmoko men samma principer lär gälla Android och iPhone. Frågar är dock om de använder t.ex PCI istället för McBSP.

Läsvärt i detta ämne

http://www.osnews.com/story/27416/The_s ... bile_phone

So, we have a complete operating system, running on an ARM processor, without any exploit mitigation (or only very little of it), which automatically trusts every instruction, piece of code, or data it receives from the base station you're connected to. What could possibly go wrong?

With this in mind, security researcher Ralf-Philipp Weinmann of the University of Luxembourg set out to reverse engineer the baseband processor software of both Qualcomm and Infineon, and he easily spotted loads and loads of bugs, scattered all over the place, each and every one of which could lead to exploits - crashing the device, and even allowing the attacker to remotely execute code. Remember: all over the air. One of the exploits he found required nothing more but a 73 byte message to get remote code execution. Over the air.

Att hacka mobiltelefoner över bluetooth och den vägen tanka ned ett och annat personligt den vägen ur telefonen är ju välkänt, och ibland så lämnar användaren frivilligt ifrån sig informationen utan att veta om det som tex. hands-free tjänst via bluetooth i tex. en hyrbil - hur många raderar bort sin profil i denna innan bilen lämnas tillbaka, då denna har kopia på telefonlistor, SMS, ja allt i en lokal kopia i bilen för snabb hantering ???

Och produkter samt chipset som tas fram i all hast för komma ut på marknaden så fort som möjligt - är inte avbuggade i avseende på angrepp utifrån då de går i produktion så fort det övh. fungerar och passerat funktionstesterna - inte att dessa redan har fungerat ett år och en arme på 100 duktiga betalda hackare har under hela tiden försökt hacka sig in i systemet och allt efter som tätat hålen med otaliga revisioner - det är bara militära köpare som tycker sig ha råd med sådant...

Att NSA mfl. stora underrättelseorganisationer har olika toolkit för att hacka närmast valfri modern elektronisk pryl beror på att det är tusentals människor som inte gör något annat än att försöka hitta exploit i systemen och med den kvalitén som nämndes ovan så är det nog att den som letar han finner - på ganska kort tid, särskilt som mycket kod och VHDL-strukturer återanvänds och exploits som tillverkarna inte känner till men är välkända hos dom som vill hacka telefonerna - återanvänds gång på gång i trogen objekthanteringfilosofi med återanvändning av kod, vilket gör att en rykande färsk telefon förmodligen har 10 år gamla okända exploits kvar



Hur ofta skrivs tex linux TCP/IP stack från grunden med helt ny kod utan någon som helst släktskap med den gamla - ja inte ofta då det tar väldigt lång tid att få sådan kod så stabilt att folk vågar använda den i produktionsmiljö och ännu längre att få bort dom flesta buggar och exploit som kan hota dess säkerhet och öppna för intrång - det är samma sak med VHDL-kod i chipset och grundläggande program i en nalle - få vågar stoppa in obeprövat kod eller logikblock i så känsliga delar som bestämmer om företaget kommer överleva närmaste halvåret eller inte och lyckan är stor för hackare om i denna block finns en exploit som är okänd för alla inklusive tillverkarna och 'hålet' följer med gång efter gång och finns även i den nyaste telefonen...

Det som sedan verkligen plockar ned säkerheten är alla appar som laddas ned och det ganska okritiskt - som angripare så skulle man nog hellre angripa den vägen med kanske en honey-pot program i form av ett spel etc.

(tex. truecrypt har ibland anklagats för att vara en honey-pot eftersom kvaliten på programmet är (för) hög, dom som är bakom detta är okända, finansieringen är okänd, ingen vill ta åt sig äran för produkten, vilket får anses som ganska sällsynt etc. och somliga säger sig att det bara måste vara en myndighet bakom denna. Dock källkoden är öppen och vem som helst kan granska denna och kompilera denna för en egen version och granskningen görs just nu, om det nu finns exploit i denna för myndighets räkning så är den mycket väl dold och det är förmodligen större risk att hitta sådana saker i den använda kompileringsmiljön som kompilerar koden)

daer skrev:http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone

/../ With this in mind, security researcher Ralf-Philipp Weinmann of the University of Luxembourg set out to reverse engineer the baseband processor software of both Qualcomm and Infineon, and he easily spotted loads and loads of bugs, scattered all over the place, each and every one of which could lead to exploits - crashing the device, and even allowing the attacker to remotely execute code. Remember: all over the air. One of the exploits he found required nothing more but a 73 byte message to get remote code execution. Over the air.

Vilket man kanske kan undersöka med egen basstation för 3G som fungerar likt OpenBTS, den implementationen är dock bara för GSM.

Frågan är dock. Även om någon lyckas ta över basbandsprocessorn. Kan den i sin tur ta över ett säkert operativsystem på den primära processorn?
(alldeles oavsett exploits via app:ar osv)

En vidareutveckling är om säkerhetsforskaren kan hitta hålen. Kan man på samma sätt säkra upp basbandsprocessorns kod?

Verkar som att backdörr via radiomodemet redan finns fast på ett mindre raffinerat sätt:
replicant.us: Samsung Galaxy Back-door