Especialistas de Guardicore pudieron piratear el control remoto XR11. Consiguieron convertir el mando hackeado en un dispositivo de espía.

Investigadores de seguridad analizaron el control remoto por voz Xfinity XR11 de Comcast. Encontraron una manera de convertirlo en un dispositivo de escucha sin acceso físico o interacción del usuario.

El ataque, denominado Warez The Remote, permitió que el mando hackeado fuera interceptado y monitoreado desde una distancia de 20 metros.

A diferencia de los controles remotos infrarrojos convencionales, Comcast XR11 usa frecuencias de radio para comunicarse con decodificadores de cable. Además, tiene un micrófono incorporado para comandos de voz. Hay más de 18 millones de dispositivos de este tipo en los hogares de los residentes de EE.UU.

Talón de Aquiles

Los investigadores de Guardicore observaron de cerca el firmware y el software del control remoto en el decodificador.

Encontraron un punto débil en la implementación del protocolo RF4CE, que se encarga de cifrar las comunicaciones.

“Sin embargo, resultó que en la implementación de XR11, la seguridad de RF4CE se establece por paquete. Cada paquete de RF4CE tiene un byte de ‘banderas’. Cuando uno de sus bits se establece en 1, el modo seguro está habilitado para ese paquete y su contenido se cifrará. Por lo tanto, si el bit no está establecido, el paquete se enviará en texto sin cifrar “. – Guardicore.

Descubrieron que el firmware XR11 acepta respuestas de texto sin formato a solicitudes encriptadas desde el control remoto. Esto permitió que un atacante que adivinara el contenido de la solicitud creara una respuesta maliciosa, aparentemente en nombre del STB.

Además, no hubo verificación de firmas para la función de actualización de firmware, lo que permitió a un atacante instalar imágenes maliciosas.

El firmware se comprueba cada 24 horas y el paquete de solicitud está cifrado. Sin embargo, los investigadores de Guardicore notaron un byte sin cifrar que indica que la solicitud estaba relacionada con el firmware. Esto les permitía adivinar el contenido.

Conociendo estos detalles, los investigadores pudieron responder con un paquete de texto sin formato. Informaron al control remoto que había una actualización de firmware disponible y flasheando el XR11 con su propia versión del firmware que contiene malware.

El proceso del ataque

Durante la prueba inicial, cambiaron el firmware para que uno de los LED del mando hackeado parpadeara con un color diferente:

Dado que el control remoto tiene una función de control de voz a bordo, los investigadores se preguntaron cómo se podría activar el micrófono. Para hacer esto, rediseñaron el firmware del control remoto para encontrar el código del botón de grabación de voz.

Cambiaron el software para que se produzca una solicitud de escritura cada minuto, no solo cuando se presiona un botón. Tan pronto como respondan a esta solicitud, comenzará la grabación, con una duración de hasta 10 minutos.

Un esquema de los especialistas de como se podría usar el mando infectado
Esquema del posible ataque

Conclusión

Prepararse para un ataque de este tipo ciertamente no es fácil y requiere habilidades técnicas serias. Es necesarios saber realizar ingeniería inversa del firmware, crear parches y tener la paciencia para actualizar el XR11.

En su informe, Guardicore dice que les tomó alrededor de 35 minutos hacer los cambios necesarios usando un transceptor de RF.

Por supuesto, el éxito del ataque también depende del transceptor. La opción más cara proporcionará resultados más consistentes. Usaron un ApiMote, que cuesta alrededor de $ 150 y puede escuchar a una persona hablando a 4.5 metros desde el cmando hackeado. Una muestra de la conversación grabada está disponible en la publicación del blog de Guardicore .

Comcast ha abordado los problemas informados por Guardicore al confirmar el 24 de septiembre que sus dispositivos XR11 ya no son vulnerables al ataque WarezTheRemote.

Basado en material de Bleeping Computer.