Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS) (Pagina 1) / Preguntas generales y busqueda de nuevas brechas / Foro Wifi-libre.com

El libre pensamiento para un internet libre

No estas registrado.     

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 01-05-2017 22:19:55

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

El full disclosure "Samsung Smart TV Wi-Fi Direct Improper Authentication" pone en evidencia (otra vez) el protocolo WPS

  Cuando he leído el titulo del full dislosure mi primera pregunta fue... ¿Qué coño es el WiFi Direct? big_smile
El full disclosure en sí no es muy elaborado y un poco aproximativo, lo llamaría más un "aviso de seguridad".
El autor no pretende tampoco haber estudiado el asunto: Ha comunicado a Samsung la brecha de seguridad para que la arreglen.
  Samsung ha considerado que no es una brecha:

Samsung replied they concluded that this is not a security threat to Samsung TV.

 
  Considera (con toda la razón del mundo) que sí, es una brecha de seguridad.
Veamos que pasa (¿Qué coño es el WiFi Direct?)

7. Technical Description

Wi-Fi Direct Improper Authentication

Wi-Fi Direct [1], initially called Wi-Fi P2P, is a Wi-Fi standard enabling devices to easily connect with each other
without requiring a wireless access point
. It is useful for everything from internet browsing to file transfer, and to
communicate with one or more devices simultaneously at typical Wi-Fi speeds. In a scenario where two devices want to
connect they can authenticate using  methods such as PIN, Push-Button or NFC.

El WFi direct no es un protocolo en si: Es más bien una manera de usar el WPS.
Es una mejora de las redes ad-hoc (redes entre equipos sin pasar por un Punto de acceso)
Las redes ad hoc no son seguras, solo se pueden configurar con cifrado WEP
  Utilizando las opciones p2p ("peer to peer") del WPS no rebajamos el nivel de cifrado (WPA)

Samsung TVs has support for Wi-Fi Direct by default and it’s enabled every time the device it’s turn on.  The system
uses a blacklist/whitelist access control mechanism to avoid asking the user to authenticate devices every time they
try to connect using WiFi-Direct. This access control mechanism uses the MAC address to identify the devices, making
easy for an attacker to get the necessary information to impersonate a whitelisted device and gain access to the Smart
TV. The user will get notified about the whitelisted device connecting to the Smart TV, but no authentication it’s
required. Once connected the attacker have access to all the services provided by the TV, such as remote control
service or DNLA screen mirroring. If any of the services provided by the Smart TV, once connected using WiFi-Direct, is
vulnerable the attacker could gain control of the Smart TV or use it to pivot and gain access to the network where the
Smart TV is connected to.

  Así concluye la descripción y nos quedamos corto.
Se entiende perfectamente la amenaza y porqué es una brecha de seguridad.
El "WiFi direct" de los televisores Samsung está habilitado por defecto y activado a cada reinicio.
Una vez que un dispositivo se ha conectado (por PIN, PBC "emulado" o NFC) su dirección mac queda registrada en una lista blanca.
Esto es para que el cliente no tenga que entrar el PIN otra vez o lanzar en ambos equipos el apareamiento PBC o NFC.
  Un simple mac spooffing (cambiar su MAC real por la mac del cliente legitimo) basta entonces para conectarnos a la tele Samsung y acceder a su interfaz y servicios.
  Además así "se tiene un pie" en la red fuente con posibilidades de explotar una debilidad o configuración un poco débil para por ejemplo, obtener la llave WPA de la red fuente.

A falta de explicaciones precisas y de código PoC tenemos un escenario básico que sería

  1. Esnifar el trafico para obtener las direcciones mac de los clientes

  2. Conectarse con estas mac mediante "WiFi Direct"

  Esto es para las teles Samsung.
Hay otros fabricantes que emplean el Wifi direct:

Televisions
In March 2016 Sony, LG and Philips have implemented Wi-Fi Direct on some of their televisions.

  ¿Serán igual de inseguros?
Para conectarse a la tele podríamos emplear un móvil con Android que tiene soporte "Wifi Direct"... o una consola Xbox o Nvidia

Si vamos un poco más en el fondo de las cosas se abren cienes de puertas.
La tele Samsung lleva un mini sistema basado en linux para gestionar su chipset WiFi y proponer este servicio basado en el WPS.
   Este sistema tira de hostapd y wpa_supplicant: Es linux.    wink
   El móvil Android tira también de wpa_supplicant para conectarse a las redes wifi. 
Y es concretamente el comando p2p* que se emplea para el "WiFi P2P"   

Podemos usarlo directamente con wpa_cli, del mismo modo que lo haríamos para utilizar le protocolo WPS en modo PIN o PBC.
  Es imposible resumir todas las opciones y formas de emplear el p2p
Una diferencia con el protocolo WPS PIN o PBC es la noción de GO (Group Owner) que reempleza la noción de Registrar
 
   El caso presentado en el full dislosure es muy "basico"
Reemplazar una negociación de PIN o PBC por un simple filtrado mac es una tremenda estupidez.
  Podemos imaginar escenarios mas complejos.
Incluso montar con hostapd un rogue AP
   
  Cosas de la vida:
Se puede llevar un ataque DoS gracias a a una vulnerabilidad del Wifi direct contra versiones de Android anetriores a la 5.0 lol

“An attacker could send a specially crafted 802.11 Probe Response frame causing the Dalvik subsystem to reboot because of an Unhandle Exception on WiFiMonitor class,”

Android WiFi-Direct Denial of Service
  Hay un pequeño código PoC en python para probar.
  El fallo es muy cutre y se sitúa al nivel del código java hecho por google que se dedica a hacer las llamadas a wpa_supplicant
   No aguanta paquetes PROBES con parámetros p2p inválidos.

  El brute force WPS o "pixie dust" (ataques en modo PIN) no son las únicas vías.
  Si los fabricantes de TV y otros objetos "inteligentes" cometen los mismos errores con el WiFi direct que los cometidos por los fabricantes de punto de acceso a la hora de jugar con el WPS; se van a abrir brechas.
  Sería interesante estudiar más en fondo esta vulnerabilidad contra televisores Samsung para elaborar un código PoC.
   Mi tele es una daitsu y no tiene wifi... fuck! tongue big_smile

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 01-05-2017 22:38:33

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 375

Re: Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

Con samsung y el wps estas en seguridad big_smile

Tengo un error para poder ver la vidéo

Desconectado

#3 02-05-2017 07:19:35

dymusya
Very Important Usuario

Registrado: 19-04-2015
Mensajes: 144

Re: Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

vaya regalo de ingenieros y developers de los TV Smarts, que comodidad de wifi direct.gracias amigo por tener nos actualizados en el mundo de packets over the air. Eres mi wifi maestro!

Desconectado

#4 02-05-2017 11:14:18

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

Gracias por señalar el link vídeo invalido, fue un error mío. smile
Hace tras días atrás (después la salida del ful dislcosure) ha salido un articulo sobre el Wifi Direct en Android en un sitio de bastante audiencia

wifi_direct_1.jpg

El ultimo comentario es bastante ilustrativo

wifi_direct_2.jpg

Podríamos añadir "Y sin saberlo estás usando el WPS" big_smile

vaya regalo de ingenieros y developers de los TV Smarts

 
big_smile
Para ser justos debemos mencionar también a los ingenieros de google, son los dos lideres en la implementación del WiFi Direct.
Han tardado dos años en arreglar el bug de su código que provocaba una DoS simplemente por no aguantar una PROBE con parámetros p2p inválidos.
Aunque no tenga televisor "inteligente" quiero ver un poco como concretamente se podría escanear y conectar a un tele "Wifi Direct" usando wpa_cli de wpa_supplicant.
Luego sería interesante probar con hostapd varias configuraciones p2p para emular "Group Owners" y experimentar.

Desconectado

#5 02-05-2017 12:10:37

Koala
Very Important Usuario

Registrado: 11-09-2016
Mensajes: 375

Re: Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

A ver si aqui tenemos gente que puedo probar, no tengo TV inteligente tan poco big_smile


Kcdtv escribió:

Luego sería interesante probar con hostapd varias configuraciones p2p para emular "Group Owners" y experimentar.

Eso se puede hacer si cool

Desconectado

#6 02-05-2017 14:39:39

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 3,196

Re: Intrusión en red WiFi mediante "WiFi direct" (WiFi p2p WPS)

¡Bien! smile
Hay muchos parámetros y incluso unos para debug que podrían dar lugar a cosas interesantes montando el PA trampa:

"auth" indicates that the WPS parameters are authorized for the peer
device without actually starting GO Negotiation (i.e., the peer is
expected to initiate GO Negotiation). This is mainly for testing
purposes.

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Pie de página

Información del usuario

Ultimo usuario registrado: AndresFree
Usuarios registrados conectados: 1
Invitados conectados: 12

Conectados: claudioruiz

Estadisticas de los foros

Número total de usuarios registrados: 670
Número total de temas: 863
Número total de mensajes: 7,187

Máx. usuarios conectados: 61 el 28-03-2017 00:04:22