Araştırmacılar, Vorwerk’ten çok fonksiyonlu bir mutfak aleti olan Thermomix TM5’te, saldırganların ürün yazılımı manipülasyonu ve kalıcı kod yürütülmesi yoluyla potansiyel olarak uzaktan devralmaya ulaşmalarını sağlayan birden fazla güvenlik açıkını ortaya çıkardılar.
ARM926EJ-S çekirdeğine sahip bir Freescale/NXP I.MX28 SOC ile güçlendirilen cihazın ana kartı, bir NAND flaşını (Toshiba TC58NVG0S3HTA00) ve DDR2 SDRAM’ı entegre eder, bu da ayrıştırılmış ve incelendiğinden, konformal kaplamadan sonra incelenir.
Ürün yazılımında kritik kusurlar
NAND, doğrudan okumaları karmaşıklaştıran bütünlük için meta verilerle birlikte özel bir GPMI denetleyicisi kullanır, ancak IMX-nand-Tools gibi araçlar, yazılım yapılandırma blokları (FCBS) ve keşfedilen kötü blok tablolarının (DBBT’ler) dahil edilmesi, yazılım ECC ile korunur.
Bu, “Pişirme Çubukları” manyetik USB modüllerinin şifresini çözmek için kullanılan /opt/cookey.txt adresindeki AES-128 CBC şifrelemesi gibi şifreli dosya sistemleri ve anahtarları ortaya çıkardı.
Çekirdek Veri Ortak İşlemcisi (DCP) sürücüsü, sabit kodlanmış CMP_KE ve ACT_KEY, CRYPTSETUP ile Cook Stick Ext4 bölümlerinin şifrelemesini kolaylaştırarak, imzalı SQLITE veri tabanları (Ext.SDB) ve temalı görüntü varlıkları, kolay değişiklikleri önleyerek kolaylaştırıldı.
Wi-Fi bağlantısını ve bulut tarifi indirmelerini sağlayan Cook anahtar aksesuarı daha fazla diseksiyonu, PIC16F1454 LED denetleyicisi, Marvell 88W8786U WLAN modülü ve şifrelenmemiş UDP flash sürücü, ürün yazılımı güncellemeleri (TM5.Img) ile barındıran bir USB HUB olarak tanımladı.
Sömürü yolları
Özel PCB’ler ve Raspberry Pi kurulumları aracılığıyla emülasyon, sanal cihazların test edilmesine, donanım ihtiyaçlarını atlayarak izin verdi.
/USR/SBIN/CHECKIMG tarafından işlenen ürün yazılımı güncelleme işlemi, RSA imzalı bölümlerle AES-EAX şifrelemesini kullanır, ancak nons ve etiketleri imzasız bırakarak kurcalamayı etkinleştirir.
Saldırganlar, ilk düz metin bloğunu kontrol etmek için nonces’i manipüle edebilir, sürüm bölümünde force_flag = 1 ayarlamak için kaba zorlama baytları, böylece 2.14’ten önceki sürümler için anti-downgrad korumalarını atlayabilir.
Rapora göre, bu, Etiketleri yeniden hesaplarken “197001010000” gibi sürüm tarihlerini oluşturan Python komut dosyalarında gösterildiği gibi, CHECKIMG’den çıkarılan bilinen AES tuşundan yararlanıyor.
DCP ile şifreli bootstream saldırganlarına rağmen eksik güvenli önyükleme ile zincirlenmiş rootfs bütünlük kontrolleri yok.
Özel RSA imzalarını kabul etmek için CheckIMG’yi ele geçirme de dahil olmak üzere güncelleme dosyalarını çıkararak ve değiştirerek, /opt/update.sh gibi komut dosyaları aracılığıyla keyfi kod yürütülmesi sağlanır.
DM-Terity olmadan ROM’dan yüklenen önyükleme işlemi, KOBS-NG aracılığıyla alınabilen OTP yakılı tuşları kullanarak bölümleri şifresini çözer, daha fazla analiz için Linux çekirdeğini (v2.6.35.14) ortaya çıkarır.
Bu kusurlar, kurcalanabilir olmayanlar, çıkarılabilir AES tuşlarından ve yoksulların doğrulanmasından kaynaklanmaktadır, bu da etkiler, cihazın düşük güçlü profili ve sensör eksikliği ile sınırlı olsa da, başlangıçtaki fiziksel erişimin taklitli cihazlar veya bulut vektörleri aracılığıyla kazanılması durumunda uzaktan sömürüye izin verir.
Vorwerk, sürüm 2.14’te kesit değiştirme imzaları ile yamalı, ancak daha önceki modeller savunmasız kalır.
Kullanıcılar, riskleri azaltmak için ürün yazılımını güncellemeli ve yetkisiz aksesuarlar için izlemelidir, bu da IoT aletlerinde sağlam şifreleme bağlamaları ve kapsamlı güvenli bagaj ihtiyacını vurgular.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.