数十亿 WIFI 芯片存在数据泄露和流量操控

导 读

近日，来自达姆施塔特大学、布雷西亚大学、CNIT 和安全移动网络实验室的一组研究人员发现WiFi芯片中的安全漏洞，通过利用这些漏洞来定位设备的蓝牙组件，并提取密码和操纵WiFi芯片上的流量。

详 情

根据专家发表的研究论文，现代移动设备使用独立的无线芯片来管理蓝牙、Wi-Fi 和 LTE 等无线技术。这些芯片共享组件和资源，例如相同的天线或无线频谱，以提高设备的效率，从而降低能耗和通信延迟。利用这些共享资源跨无线芯片边界就可以发起横向提权攻击。

论文展示了从蓝牙芯片到 Wi-Fi 芯片代码执行的横向权限提升。WiFi 芯片会加密网络流量并保存当前的 WiFi 凭据，从而为攻击者提供更多信息。此外，攻击者可以在 Wi-Fi 芯片上执行代码，即使它没有连接到无线网络。在相反的方向，我们观察来自 Wi-Fi 芯片的蓝牙数据包类型。这允许确定蓝牙键盘上的击键时间，从而可以重建键盘上输入的文本。研究人员展示了对部署在数十亿台设备中的Broadcom、Cypress 和 Silicon Labs 芯片的实际共存攻击。

实际共存攻击使研究人员能够实现 WiFi 代码执行、内存读取和拒绝服务。在研究人员设计的攻击场景中，他们首先在蓝牙或 WiFi 芯片上执行代码，然后利用共享内存资源对同一设备上的其他芯片进行横向攻击。

威胁参与者可以通过无线利用未修补或新的安全问题，或滥用本地操作系统固件更新机制来执行代码。下表报告了与研究人员发现的漏洞相关的攻击类型。

专家指出，他们发现的一些漏洞在不改变硬件设计的情况下是无法修复的。

“有些问题只能通过发布新的硬件版本来修补。例如，新固件版本不会从芯片上物理移除共享内存，也不会针对串行协议中的任意抖动进行调整。此外，在不影响数据包协调性能的情况下，无法删除某些数据包计时和元数据。”

研究人员与芯片供应商分享了他们的发现，其中一些已经解决了这些问题。不过，研究人员表示，修复已识别问题的速度缓慢且不充分，而且攻击中最危险的方面在很大程度上仍未得到修复。

虽然代码执行漏洞植根于特定芯片的架构问题并揭示了所需的逆向工程工作，但更普遍的DDoS 和信息泄露攻击可以直接从公开可用的共存规范中衍生出来。无线共存支持基于硬连线芯片间组件的新升级策略。由于攻击向量直接位于芯片之间，因此它绕过了主操作系统。完整的修复将需要重新设计芯片，当前的固件修复并不完整。