昨日、Apple は、iPhone、iPad、iPod をワイヤレスで密かに操作できる重大なセキュリティホールを塞ぐ緊急パッチを急いでリリースした。
理由が分かりました。このリモートコード実行の脆弱性は、Appleの携帯端末に使用されているBroadcomのWi-Fiスタックに存在します。他の多くの携帯端末やWi-FiルーターもBroadcomの粗悪なHardMACチップセットを使用しているため、多くのスマートフォン、タブレット、ゲートウェイメーカーがパッチを公開すると予想され、期待されています。Broadcomの脆弱な技術を使用しているあらゆるガジェットは、AppleのiThingsだけでなく、無線(OTA)ハイジャックの危険にさらされているのです。
Google Project ZeroのGal Beniamini氏による研究の概要は以下のとおりです。Broadcomの無線システムオンチップ(SoC)上で動作するファームウェアは、スタックバッファをオーバーランさせるように仕向けられる可能性があります。彼は、メタデータに異常な値を含む巧妙に細工された無線フレームをWi-Fiコントローラに送信することでファームウェアのスタックをオーバーフローさせ、チップセットの頻繁なタイマーの作動と組み合わせることで、デバイスRAMの特定のチャンクを徐々に上書きし、任意のコードが実行されるまで攻撃を続けました。
言い換えれば、攻撃者は、危険にさらされている Apple または Android デバイスを密かに乗っ取るために、Wi-Fi の範囲内にいるだけでよいのです。ハッカーは、被害者のデバイスと同じワイヤレス ネットワーク上にいる必要があります。または、オープン アクセス ポイントを設定して、標的のハンドヘルド デバイスを自分のネットワークに誘い込むこともできます。
ベニアミニ氏は本日、8,500語に及ぶ壮大なブログ記事で自身の研究の詳細を報告した。
彼が発見したのは、ブロードコムの「ファームウェア実装はセキュリティ面で遅れをとっている。具体的には、スタッククッキー、安全なリンク解除、アクセス許可保護など、基本的なエクスプロイト対策がすべて欠如している」ということだ。
Broadcomの粗悪なSoCソフトウェアを使用しているAndroidデバイスには、Nexus 5、6、6P、そしてSamsungのフラッグシップモデルのほとんど、さらにiPhone 4以降のすべてのiPhone、そしてそれ以降のiPodとiPadが含まれます。これらのデバイスはすべて、アップデートがリリースされ次第、パッチを適用する必要があります。Androidの2017年4月のセキュリティアップデートには必要な修正が含まれているはずなので、お見逃しなく。ブログ記事で詳細が説明されている概念実証のエクスプロイトは、2月のテスト時点での最新版であるAndroid 7.1.1バージョンNUF26Kを搭載したNexus 6Pで実行に成功しました。
ベニアミニ氏によると、Project ZeroはBroadcomを狙った攻撃として始まったわけではない。むしろ、脆弱性調査のほとんどはアプリケーションプロセッサに焦点を当てている。BroadcomのWi-Fi SoCのような周辺機器は、それほど綿密に調査されておらず、Broadcomは業界最大の企業なのだ。
まだ始まったばかり:Wi-Fi SoCはスマートフォンにおける攻撃対象領域の一つに過ぎない
チップのファームウェアを抽出して分析し (ブログ記事ではさまざまな人々の協力に感謝している)、バイナリ イメージ内の Wi-Fi 処理コードを特定するために多大な作業を行った後、Beniamini 氏は Broadcom のトンネル直接リンク セットアップ (TDLS) の実装に落ち着きました。
TDLS は 2011 年に標準規格として公開され、2012 年に Wi-Fi Alliance の認定を受けました。これにより、デバイスが同じアクセス ポイントに関連付けられている限り、アクセス ポイントを経由せずにピアとしてデータを交換できます。たとえば、ネットワークの残りの部分を詰まらせることなく、携帯電話から Chromecast にビデオを送信できます。
TDLS には、魅力的な攻撃ベクトルとなる 2 つの特性があります。
- これはユーザーの操作を必要としない自動プロセスです。
- これはピアツーピアのプロセスであるため、攻撃者は被害者に到達するためにアクセス ポイント経由でパケットをルーティングする必要がありません。
TDLSフレームには、ファームウェアのバッファオーバーランを引き起こす可能性のあるフィールドが含まれていることが判明しました。「これらをすべて組み合わせることで、コードチャンクを乗っ取ってシェルコードを保存し、タイマーを乗っ取って保存したシェルコードを指すようにすることができます。タイマーが切れると、ファームウェア上でコードが実行されます」とベニアミニ氏は説明しました。
Beniamini 氏は、注入されたコードを SoC 上で実行中からメイン アプリケーション プロセッサ上で実行中にエスカレートする方法を説明するフォローアップ記事を投稿すると約束しました。
Broadcom社によると、同社の最新ファームウェアでは、Wi-Fi SoCのARM Cortex R4コアに内蔵されたメモリ保護メカニズムが採用され、スタックからのコード実行を阻止しているという。Beniamini氏が調査したバージョンでは、これらのメカニズムは事実上無効化されており、すべてのメモリが読み取り、書き込み、実行可能とマークされていたため、エクスプロイトは容易だった。
Broadcom は、「将来のファームウェア バージョンでエクスプロイト緩和策を実装することを検討している」と付け加えました。®
