Dipl.-Inform. Carsten Eilers

Forscher von Bastille haben herausgefunden, dass sich viele kabellose Tastaturen und Mäuse, die für die Kommunikation nicht Bluetooth, sondern USB-Dongles verwenden, mit einem USB-Dongle für 15 US-Dollar kapern lassen. Und das aus bis zu 100 Meter Entfernung. Der Angriff bekam, wie es seit einiger Zeit ja üblich ist, einen Namen samt passendem Logo: MouseJack. Und weil so ein Name samt Logo allein inzwischen auch nicht mehr automatisch Aufmerksamkeit garantieren, gab es diesmal auch noch ein Video dazu.

Worum geht es?

Viele dieser Geräte nutzen proprietäre Protokolle im 2,4 GHz ISM-Band. Mangels Industriestandard müssen die Hersteller dabei eigene Schutzmaßnahmen implementieren, was ihnen nicht immer gelingt.

Immer, wenn der Benutzer eine Taste auf der Tastatur drückt oder die Maus bewegt bzw. damit klickt, wird über Funk ein Paket an das USB-Dongle am Rechner geschickt. Das wartet auf diese Nachrichten und meldet Tastendruck bzw. Mausbewegung oder -klick an den Rechner. Dabei werden zwar Tastendrücke verschlüsselt übertragen, nicht aber Mausbewegungen und -klicks. Und damit gibt es auch keine Authentisierung der Maus-Aktionen, so dass das USB-Dongle nicht entscheiden kann, ob die Daten von der eigenen Maus oder einer fremden kommen.

Also kann ein Angreifer sich als Maus ausgeben und eigene Mausbewegungen und -klicks einschleusen. Ein Fehler bei der Verarbeitung der empfangenen Dongles erlaubt es außerdem oft, präparierte Pakete einzuschleusen, die Tastendrücke an Stelle von Maus-Aktionen ergeben.

Ein NES-Controller als bösartige Maus

Viele Hersteller von kabellosen Eingabegeräten ohne Bluetooth verwenden für die Funkverbindung Transceiver des Typs nRF24L von Nordic Semiconductor. Die Forscher von Bastille bauten den gleichen Transceiver zusammen mit einem Arduino in einem NES-Controller ein, mit dem sie dann Mausbewegungen einschleusen konnten. Über den Aufruf einer virtuellen Tastatur konnten sie auch bereits Tastendrücke eingeben. Allerdings nur blind, da es ja keinerlei Rückmeldung gibt. Ist die virtuelle Tastatur nicht da, wo der Angreifer sie vermutet, klickt er alles möglich an, aber nicht die gewünschten Tasten.

Oder auch ein Dronen-Controller...

Die Reichweite des umgebauten NES-Controllers war aber begrenzt, so dass die Forscher für weitere Tests das USB-Dongle zur Steuerung einer Crazyflie-Drone verwendeten. Das basiert ebenfalls auf dem nRF24L-Transceiver, hat aber eine größere Reichweite. Außerdem konnte es so angepasst werden, dass damit auch die Kommunikation der kabellosen Tastaturen und Mäuse mit ihren Dongles belauscht und für die spätere Analyse aufgezeichnet werden konnte.

Was kann der Angreifer tun?

Mit dem angepassten Dongle sind Angriffe über eine Entfernung von bis zu 100 Metern möglich. Je nach Hersteller sind dabei verschiedene Aktionen möglich:

• Tastendrücke einschleusen, Simulation einer Maus
  Manche Dongles prüfen beim Empfang eines Pakets nicht, ob der Typ des Pakets mit dem Typ des Geräts überein stimmt. Normalerweise sendet eine Maus nur Mausbewegungen und Klicks an den Rechner, und eine Tastatur nur Tastendrücke.
  Prüft das Dongle den Pakettyp aber nicht, kann der Angreifer behaupten, er sei eine Maus, tatsächlich aber Pakete mit Tastendrücke schicken. Da Pakete von einer Maus nicht verschlüsselt sind, akzeptiert das Dongle den unverschlüsselten Tastendruck und reicht ihn an den Rechner weiter.
• Tastendrücke einschleusen, Simulation einer Tastatur
  Die meisten getesteten Tastaturen verschlüsseln die Tastendrücke zwar, bevor sie an das Dongle gefunkt werden. Aber nicht alle Dongle erfordern es, dass die Verschlüsselung verwendet wird.
  Ein Angreifer kann diesen Dongles vorspielen, er sei eine Tastatur, und unverschlüsselte Tastendrücke schicken, die vom Dongle akzeptiert und an den Rechner weitergereicht werden.
• Erzwungenes Pairing
  Bevor eine kabellose Tastatur oder Maus ausgeliefert werden, werden sie mit einem Dongle gepaired. Das Eingabegerät kennt dann die Funk-Adresse des Dongles, und im Fall einer Tastatur auch den geheimen Schlüssel für die Verschlüsselung der Tastendrücke. Manche Hersteller erlauben das Pairing eines neuen Geräts mit einem vorhandenen Dongle oder eines vorhandenen Geräts mit einem neuen Dongle. Dadurch können ausgefallene Teile einzeln ersetzt werden, und es muss nicht z.B. nach dem Verlust eines Dongles auch eine neue Tastatur gekauft werden.
  Normalerweise ist das Pairing nur nach dem Einschalten durch den Benutzer und dann nur für 30-60 Sekunden möglich. In manchen Dongles ist es aber möglich, ein neues Gerät ohne Benutzeraktion hinzuzufügen. Verwendet ein Benutzer eine Maus, die mit einem für das Einschleusen von Tastendrücken anfälligem Dongle gepaired ist, kann der Angreifer eine Fake-Tastatur mit dem Dongle pairen und darüber Tastendrücke einschleusen.

Das mit den Tastendrücken dann beliebige Befehle "eingetippt" werden können versteht sich wohl von selbst.

Schutzmaßnahmen und betroffene Geräte

Überwiegend kommen zwei Arten von nRF24L-Chips in kabellosen Eingabegeräten und deren Dongles zum Einsatz: Solche die nur einmal programmiert werden können, was vor der Auslieferung passiert, und solche, die einen Flash-Speicher für die Firmware verwenden. Während die Geräte mit fester Firmware naturgemäß nicht aktualisiert werden können, können die Hersteller für die Geräte mit Flash-Speicher Firmware-Updates bereit stellen.

Gibt es kein Firmware-Update, schützt nur der Austausch der betroffenen Geräte durch sichere Exemplare vor einem Angriff. Das können z.B. Geräte auf Basis von Bluetooth sein, das von der Schwachstelle natürlich nicht betroffen ist.

Welche Geräte betroffen sind und für welche es ein Update gibt, haben die Forscher von Bastille auf einer Übersichtsseite zusammengefasst. Die veröffentlichten Security Advisories gibt es auf GitHub.

Die Forscher haben auch ein Tool veröffentlicht, mit dem nach betroffene Geräten gesucht werden kann.

Auch in der nächsten Folge geht es noch um Angriffe auf und über USB, dann aber aus dem Jahr 2015. Eigentlich wollte ich ja nur Angriffe aus dem Jahr 2016 vorstellen, aber für zwei aus dem Jahr 2015 mache ich eine Ausnahme. Wieso, werden Sie dann schon sehen.

Carsten Eilers