Logitech unifying что это
Как вы понимаете, для такого вектора атаки можно использовать любую клавиатуру Logitech, совместимую с технологией Unifying. Настолько крошечный, что вы можете оставить его в своем ноутбуке, поэтому вам не нужно отключать его от сети, когда вы перемещаетесь. Однако пользователю очень редко или даже никогда приходится связывать клавиатуру Unifying-процедурой, и хакеру со сканирующим радиоприемником придется долго ждать. Как видно на фото ниже, в габарит по высоте конструкция вписалась идеально. Logitech Unifying Software by Logitech is a user-friendly utility that simplifies the management of Logitech Unifying devices by offering tools for pairing, configuring, customizing, and troubleshooting connected peripherals.
Ресивер использует корреляционный принцип приема, поэтому в составе передаваемого пакета присутствуют преамбула и адресная часть. Помехоустойчивое кодирование не применяется, тело данных шифруется алгоритмом AES В общем, радиоинтерфейс беспроводной клавиатуры Logitech можно характеризовать как полностью асинхронный со статистическим уплотнением и частотной адаптацией.
Это означает, что трансмиттер клавиатуры переключает канал для передачи каждого нового пакета. Приемнику неизвестны заранее ни время передачи, ни частотный канал, а известен только их список. Приемник и передатчик встречаются в канале благодаря согласованным алгоритмам обхода и прослушивания частот, а также механизмам подтверждений Enhanced ShockBurst.
Мы не исследовали, является ли список каналов статическим. Вероятно, его изменение обусловлено алгоритмом частотной адаптации.
Что-то близкое к методу ППРЧ псевдослучайная перестройка рабочей частоты угадывается в использовании частотного ресурса диапазона. Таким образом, в условиях частотно-временной неопределенности для гарантированного приема всех сигналов клавиатуры злоумышленнику понадобится контролировать в постоянном режиме всю сетку частот диапазона из 84 позиций, что требует значительных временных затрат.
Здесь становится понятно, почему уязвимость извлечения ключа через USB CVE в источниках позиционируется как возможность инжектирования нажатий клавиши, а не получения доступа злоумышленника к вводимым с клавиатуры данным.
Очевидно, что радиоинтерфейс беспроводной клавиатуры устроен достаточно сложно и обеспечивает надежную радиосвязь между устройствами Logitech в условиях сложной помеховой обстановки в диапазоне 2,4 ГГц. Для исследования мы выбрали одну из имеющихся у нас клавиатур Logitech K и донгл Logitech Unifying.
Заглянем внутрь клавиатуры. Прошивка размещена во внутренней памяти, механизмы чтения и отладки выключены. К сожалению, прошивка в открытых источниках не опубликована.
Поэтому мы решили подойти к проблеме с другой стороны — изучить внутреннее содержание донгл-приемника Logitech. Донгл легко разбирается, несет на борту знакомый нам NRF24 в релизе со встроенным USB-контроллером и может быть перепрограммирован как со стороны USB, так и непосредственно программатором. Поскольку существует штатный механизм обновления прошивки с использованием приложения Firmware Update Tool из которого можно извлечь обновленную версию прошивки , искать прошивку внутри донгла нет необходимости.
Для проверки ее целостности контроллер донгла был подключен шлейфом к программатору ChipProg :. Для контроля целостности прошивки она была успешно размещена в памяти контроллера и заработала корректно, клавиатура и мышь были подключены к донглу через Logitech Unifying.
Возможна заливка модифицированной прошивки с помощью штатного механизма обновления, т. Мы же в целях исследования использовали физическое подключение к программатору, поскольку так проводить отладку гораздо быстрее. Чип NRF24 спроектирован на основе вычислительного ядра Intel в традиционной гарвардской архитектуре. Для ядра трансивер выступает в качестве периферийного устройства и размещен в адресном пространстве как набор регистров.
Документацию на чип и примеры исходных текстов можно найти в Интернете, поэтому дизассемблирование прошивки не представляет трудности. В ходе реверс-инжиниринга мы локализовали функции получения данных о нажатиях клавиш из радиоканала и преобразования их в формат HID для передачи на хост по USB-интерфейсу. В свободных адресах памяти был размещен код инъекции, в который вошли инструменты перехвата управления, сохранения и восстановления оригинального контекста исполнения, а также функциональный код.
Принятый донглом из радиоканала пакет нажатия или отпускания клавиши дешифруется, преобразуется в стандартный HID-репорт и направляется в USB-интерфейс как от обычной клавиатуры. В рамках исследования для нас наибольший интерес представляет часть HID-репорта, содержащая байт флагов-модификаторов и массив из 6 байт с кодами нажатий клавиш для справки информация о HID здесь.
Непосредственно перед передачей HID-структуры на хост инжектированный код получает управление, копирует в памяти 8 байт нативных HID-данных и отправляет их на побочный радиоканал в открытом виде. В коде это выглядит так:. Побочный канал организуется на установленной нами частоте с определенными характеристиками скорости манипуляции и структуры пакета.
Это делает возможным его безопасное переконфигурирование для работы в побочном канале. Инжектированный код перехватывает управление, сохраняет оригинальную конфигурацию трансивера в полном объеме и переводит его в новый режим передачи на побочный канал.
Структура пакета в побочном канале представлена на рисунке ниже, эпюры сигнала получены после демодуляции и до восстановления тактовой синхронизации данных. Значение адреса выбрано для удобства визуальной идентификации пакета.
После завершения передачи пакета в побочный канал инжектированный код восстанавливает состояние трансивера. Теперь он снова готов к работе в штатном режиме в контексте оригинальной прошивки. Для проверки работы чипа NRF24 с измененной прошивкой мы собрали стенд, в который вошли Logitech-донгл с модифицированной прошивкой, беспроводная клавиатура и приемник, собранный на базе китайского модуля с чипом NRF На стенде при нормальной работе клавиатуры после подключения ее к донглу Logitech мы наблюдали передачу открытых данных о нажатиях клавиш в побочном радиоканале и нормальную передачу шифрованных данных в основном радиоинтерфейсе.
Таким образом, нам удалось обеспечить прямой перехват клавиатурного ввода пользователя:. Инжектированный код вносит небольшие задержки в работу прошивки донгла.
Однако они слишком малы для того, чтобы пользователь мог их заметить. Как вы понимаете, для такого вектора атаки можно использовать любую клавиатуру Logitech, совместимую с технологией Unifying. Поскольку атака направлена на приемник Unifying, который входит в комплект большинства клавиатур Logitech, то она не зависит от конкретной модели клавиатуры.
Полученные результаты исследования подталкивают к мысли о возможном использовании рассмотренного сценария злоумышленниками: если хакер заменит жертве донгл-приемник для беспроводной клавиатуры Logitech, то он сможет узнать пароли к учетным записям жертвы со всеми вытекающими последствиями. Не стоит забывать о том, что инжектировать нажатие клавиш тоже возможно, а значит, выполнить произвольный код на компьютере жертвы не представляет трудности.
А если вдруг злоумышленник сможет удаленно модифицировать прошивку любого Logitech-донгла через USB? Тогда из близко расположенных донглов можно сложить сеть ретрансляторов и увеличить дистанцию утечки. Хотя «финансово обеспеченному» злоумышленнику современные средства радиоприема с высокоселективными системами, чувствительными радиоприемниками с малым временем перестройки частоты и узконаправленными антеннами позволят «слушать» клавиатурный ввод и нажимать клавиши даже из соседнего здания.
Поскольку беспроводной канал передачи данных клавиатуры Logitech достаточно хорошо защищен, найденный вектор атаки требует наличия физического доступа к ресиверу, что сильно ограничивает атакующего. Единственным вариантом защиты в данном случае могло бы быть использование механизмов криптографической защиты для прошивки ресивера, например проверка подписи загружаемой прошивки на стороне ресивера. Но, к сожалению, NRF24 это не поддерживает и в рамках текущей архитектуры устройства реализовать защиту невозможно.
Так что берегите ваши донглы, ведь описанный вариант атаки требует физического доступа к ним. Raccoon Security — специальная команда экспертов НТЦ «Вулкан» в области практической информационной безопасности, криптографии, схемотехники, обратной разработки и создания низкоуровневого программного обеспечения. Но, при загрузке системы с подключенным адаптером были получены два сообщения об ошибках тесты проводились на Lenovo x :.
Появление первой ошибки было ожидаемо, а вот вторая оказалась сюрпризом. Выяснилось, что замыкание на землю контактов 1, 21, 69, 75 указывает системе на тип устройства M. На моей плате на земле были 1, 21, После их отключения вторая ошибка исчезла. Для задержки подачи питания была применена простая схема на таймере Кстати, таймеру так же требуется напряжение питания 5 вольт, но на практике он отлично работает при 3 вольтах.
Реле выбиралось по принципу «что есть прямо сейчас».
Приёмник Unifying потребляет очень небольшой ток и, видимо, подойдёт любое миниатюрное реле, срабатывающее при напряжении около 2 вольт. На первый взгляд, можно обойтись без реле и подключить приёмник прямо на выход таймера.
Такой вариант проверялся, но это не работает. На таймере падает примерно 0,6 вольта, а оставшихся 2,7 приёмнику уже не хватает. Время срабатывания таймера при включении по такой схеме задаётся элементами R1 и С1. Время выбиралось из соображения, чтобы гарантированно пропустить проверки BIOS, но, чтобы задержка до появления мышки после выхода компьютера из спящего режима была не слишком большой.
Тестирование на макете показало полную работоспособность схемы. Нерешенным остался вопрос, как быть при перезагрузке компьютера без выключения. Питание с M. Возможно, в процессе перезагрузки активируется один из выведенных на разъем M. Позже, уже в процессе пользования, стало заметно, что задержка 8 секунд маловата, лучше было сделать примерно секунд Дело в том, что при загрузке с подключенными USB-накопителями время определения устройств увеличивается и BIOS успевает обнаружить «незаконное» устройство.
И, например, для возможности загрузки с флешки пришлось установить USB-диск первым в списке загрузочных устройств на постоянно, так как стало не хватать времени, на вызов меню выбора временного загрузочного диска. Приёмник Unifying пришлось разобрать.
Была идея обойтись без разборки и просто подключить его в разъем, который будет спрятан где-то внутри корпуса, но, в итоге, решил смонтировать его прямо на плату M. Здесь очень помогает его родная пластиковая подложка из разъема USB. Получилось довольно надёжное крепление. Дополнительно плату приёмника удерживают провода питания. Как видно на фото ниже, в габарит по высоте конструкция вписалась идеально.
Работает нормально, пользуюсь. Поиск Написать публикацию. Время на прочтение 4 мин.
Из песочницы. Подготовка и макет Первый вопрос — нужен ли DC-DC преобразователь для повышения напряжения с 3,3 до 5 вольт для питания адаптера Unifying?
Примечания по нумерации контактов в разъёме M. На фото видны оригинальный ключ "M" и самодельный ключ "B".
