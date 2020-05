La cyberattaque «Spectra» rompt la coexistence entre le Wi-Fi et le Bluetooth.



De nos jours, les technologies sans fil partagent de plus en plus le spectre. C'est le cas du Wi-Fi et du Bluetooth, mais aussi de certaines bandes LTE et harmoniques. Fonctionnant sur la même fréquence, ces différentes technologies doivent coordonner l'accès au spectre sans fil pour éviter les collisions. Surtout pour les sources proches, comme c'est le cas pour plusieurs puces dans un même smartphone, la soi-disant coexistence est la clé du partage de spectre haute performance.



La coexistence entre puces sans fil peut être mise en œuvre de différentes manières. Bien qu'il existe des spécifications ouvertes, la plupart des fabricants choisissent de développer des mécanismes de coexistence propriétaires pour améliorer encore les performances. Les interfaces ouvertes ne sont pas nécessaires sur les puces combinées qui implémentent plusieurs technologies sans fil, car le fabricant a le contrôle total.



Spectra, une nouvelle classe de vulnérabilité, repose sur le fait que les transmissions se produisent dans le même spectre et que les puces sans fil doivent arbitrer l'accès au canal. Alors que la coexistence ne devrait qu'augmenter les performances, elle pose également un puissant canal latéral.















Nous sommes les premiers à explorer les attaques latérales contre la coexistence sans fil. Nous analysons spécifiquement les puces combo Broadcom et Cypress, qui se trouvent dans des centaines de millions d'appareils, tels que tous les iPhones, MacBooks et la série Samsung Galaxy S. Notez que d'autres fabricants s'appuient également sur la coexistence et des attaques similaires peuvent s'appliquer.



Nous exploitons la coexistence dans les puces Broadcom et Cypress et rompons la séparation entre Wi-Fi et Bluetooth, qui fonctionnent sur des cœurs ARM séparés. En général, un déni de service sur l'accès au spectre est possible. Les méta-informations de paquet associées permettent la divulgation d'informations, telles que l'extraction des temps de pression du clavier Bluetooth dans le noyau Wi-Fi D11.



De plus, nous identifions une région RAM partagée, qui permet l'exécution de code via Bluetooth en Wi-Fi. Cela rend les attaques d'exécution de code à distance Bluetooth équivalentes à l'exécution de code à distance Wi-Fi, augmentant ainsi considérablement la surface d'attaque. Lors de l'exécution de code dans le firmware Wi-Fi, nous rencontrons même des paniques du noyau sur Android et iOS.



Les détails techniques complets ainsi qu'un article académique sur l'attaque seront publiés en août lors d'une session virtuelle par la conférence de sécurité de Black Hat.



