El libre pensamiento para un internet libre
No estas registrado.
Cuando he leído el titulo del full dislosure mi primera pregunta fue... ¿Qué coño es el WiFi Direct?
El full disclosure en sí no es muy elaborado y un poco aproximativo, lo llamaría más un "aviso de seguridad".
El autor no pretende tampoco haber estudiado el asunto: Ha comunicado a Samsung la brecha de seguridad para que la arreglen.
Samsung ha considerado que no es una brecha:
Samsung replied they concluded that this is not a security threat to Samsung TV.
Considera (con toda la razón del mundo) que sí, es una brecha de seguridad.
Veamos que pasa (¿Qué coño es el WiFi Direct?)
7. Technical Description
Wi-Fi Direct Improper Authentication
Wi-Fi Direct [1], initially called Wi-Fi P2P, is a Wi-Fi standard enabling devices to easily connect with each other
without requiring a wireless access point. It is useful for everything from internet browsing to file transfer, and to
communicate with one or more devices simultaneously at typical Wi-Fi speeds. In a scenario where two devices want to
connect they can authenticate using methods such as PIN, Push-Button or NFC.
El WFi direct no es un protocolo en si: Es más bien una manera de usar el WPS.
Es una mejora de las redes ad-hoc (redes entre equipos sin pasar por un Punto de acceso)
Las redes ad hoc no son seguras, solo se pueden configurar con cifrado WEP
Utilizando las opciones p2p ("peer to peer") del WPS no rebajamos el nivel de cifrado (WPA)
Samsung TVs has support for Wi-Fi Direct by default and it’s enabled every time the device it’s turn on. The system
uses a blacklist/whitelist access control mechanism to avoid asking the user to authenticate devices every time they
try to connect using WiFi-Direct. This access control mechanism uses the MAC address to identify the devices, making
easy for an attacker to get the necessary information to impersonate a whitelisted device and gain access to the Smart
TV. The user will get notified about the whitelisted device connecting to the Smart TV, but no authentication it’s
required. Once connected the attacker have access to all the services provided by the TV, such as remote control
service or DNLA screen mirroring. If any of the services provided by the Smart TV, once connected using WiFi-Direct, is
vulnerable the attacker could gain control of the Smart TV or use it to pivot and gain access to the network where the
Smart TV is connected to.
Así concluye la descripción y nos quedamos corto.
Se entiende perfectamente la amenaza y porqué es una brecha de seguridad.
El "WiFi direct" de los televisores Samsung está habilitado por defecto y activado a cada reinicio.
Una vez que un dispositivo se ha conectado (por PIN, PBC "emulado" o NFC) su dirección mac queda registrada en una lista blanca.
Esto es para que el cliente no tenga que entrar el PIN otra vez o lanzar en ambos equipos el apareamiento PBC o NFC.
Un simple mac spooffing (cambiar su MAC real por la mac del cliente legitimo) basta entonces para conectarnos a la tele Samsung y acceder a su interfaz y servicios.
Además así "se tiene un pie" en la red fuente con posibilidades de explotar una debilidad o configuración un poco débil para por ejemplo, obtener la llave WPA de la red fuente.
A falta de explicaciones precisas y de código PoC tenemos un escenario básico que sería
Esnifar el trafico para obtener las direcciones mac de los clientes
Conectarse con estas mac mediante "WiFi Direct"
Esto es para las teles Samsung.
Hay otros fabricantes que emplean el Wifi direct:
Televisions
In March 2016 Sony, LG and Philips have implemented Wi-Fi Direct on some of their televisions.
¿Serán igual de inseguros?
Para conectarse a la tele podríamos emplear un móvil con Android que tiene soporte "Wifi Direct"... o una consola Xbox o Nvidia
Si vamos un poco más en el fondo de las cosas se abren cienes de puertas.
La tele Samsung lleva un mini sistema basado en linux para gestionar su chipset WiFi y proponer este servicio basado en el WPS.
Este sistema tira de hostapd y wpa_supplicant: Es linux.
El móvil Android tira también de wpa_supplicant para conectarse a las redes wifi.
Y es concretamente el comando p2p* que se emplea para el "WiFi P2P"
Podemos usarlo directamente con wpa_cli, del mismo modo que lo haríamos para utilizar le protocolo WPS en modo PIN o PBC.
Es imposible resumir todas las opciones y formas de emplear el p2p
Una diferencia con el protocolo WPS PIN o PBC es la noción de GO (Group Owner) que reempleza la noción de Registrar
El caso presentado en el full dislosure es muy "basico"
Reemplazar una negociación de PIN o PBC por un simple filtrado mac es una tremenda estupidez.
Podemos imaginar escenarios mas complejos.
Incluso montar con hostapd un rogue AP
Cosas de la vida:
Se puede llevar un ataque DoS gracias a a una vulnerabilidad del Wifi direct contra versiones de Android anetriores a la 5.0
“An attacker could send a specially crafted 802.11 Probe Response frame causing the Dalvik subsystem to reboot because of an Unhandle Exception on WiFiMonitor class,”
Android WiFi-Direct Denial of Service
Hay un pequeño código PoC en python para probar.
El fallo es muy cutre y se sitúa al nivel del código java hecho por google que se dedica a hacer las llamadas a wpa_supplicant
No aguanta paquetes PROBES con parámetros p2p inválidos.
El brute force WPS o "pixie dust" (ataques en modo PIN) no son las únicas vías.
Si los fabricantes de TV y otros objetos "inteligentes" cometen los mismos errores con el WiFi direct que los cometidos por los fabricantes de punto de acceso a la hora de jugar con el WPS; se van a abrir brechas.
Sería interesante estudiar más en fondo esta vulnerabilidad contra televisores Samsung para elaborar un código PoC.
Mi tele es una daitsu y no tiene wifi... fuck!
Desconectado
Con samsung y el wps estas en seguridad
Tengo un error para poder ver la vidéo
Desconectado
vaya regalo de ingenieros y developers de los TV Smarts, que comodidad de wifi direct.gracias amigo por tener nos actualizados en el mundo de packets over the air. Eres mi wifi maestro!
Desconectado
Gracias por señalar el link vídeo invalido, fue un error mío.
Hace tras días atrás (después la salida del ful dislcosure) ha salido un articulo sobre el Wifi Direct en Android en un sitio de bastante audiencia
El ultimo comentario es bastante ilustrativo
Podríamos añadir "Y sin saberlo estás usando el WPS"
vaya regalo de ingenieros y developers de los TV Smarts
Para ser justos debemos mencionar también a los ingenieros de google, son los dos lideres en la implementación del WiFi Direct.
Han tardado dos años en arreglar el bug de su código que provocaba una DoS simplemente por no aguantar una PROBE con parámetros p2p inválidos.
Aunque no tenga televisor "inteligente" quiero ver un poco como concretamente se podría escanear y conectar a un tele "Wifi Direct" usando wpa_cli de wpa_supplicant.
Luego sería interesante probar con hostapd varias configuraciones p2p para emular "Group Owners" y experimentar.
Desconectado
A ver si aqui tenemos gente que puedo probar, no tengo TV inteligente tan poco
Luego sería interesante probar con hostapd varias configuraciones p2p para emular "Group Owners" y experimentar.
Eso se puede hacer si
Desconectado
¡Bien!
Hay muchos parámetros y incluso unos para debug que podrían dar lugar a cosas interesantes montando el PA trampa:
"auth" indicates that the WPS parameters are authorized for the peer
device without actually starting GO Negotiation (i.e., the peer is
expected to initiate GO Negotiation). This is mainly for testing
purposes.
Desconectado
Tema | Respuestas | Vistas | Ultimo mensaje |
---|---|---|---|
Pegado: |
413 | 40387 | 20-01-2021 19:30:05 por [email protected] |
5 | 388 | 20-01-2021 01:19:58 por troh | |
Buscando un gestionar de contrasena por Koala
|
2 | 129 | 19-01-2021 17:45:22 por Koala |
Pegado: |
13 | 4148 | 14-01-2021 18:37:07 por Koala |
Pegado: |
9 | 915 | 13-01-2021 01:37:51 por rizuz |
Ultimo usuario registrado: xoxott
Usuarios registrados conectados: 1
Invitados conectados: 8
Conectados: aranhas
Número total de usuarios registrados: 2,087
Número total de temas: 1,492
Número total de mensajes: 14,583
Atom tema feed - Impulsado por FluxBB