Neben dem allgegenwärtigen WLAN-, Bluetooth-Low-Energy- oder ZigBee-Standard kommen bei Embedded Devices auch Funktechnologien aus dem ISM Band (433/868 MHz) zum Einsatz. Beispiele sind Restaurantpager, Wetterstationen, Garagentorsteuerungen, Tastaturen, aber auch Funksteckdosen, welche in nahezu jedem Baumarkt erhältlich sind. Erfahrungen haben gezeigt, dass Daten, die über diesen Standard übermittelt werden, meist unzureichend gegenüber „Replay-Attacken“ abgesichert sind. Bei diesen schneidet ein Angreifer übermittelte Daten mithilfe eines 433/868 MHz-Empfängers mit, bearbeitet sie und sendet diese manipulierten Pakete an das Empfängergerät. Das folgende Beispiel soll zeigen, wie handelsübliche Funksteckdosen über diese Technik vollständig übernommen werden können.

(Quelle: NSIDE ATTACK LOGIC)

Equipment

Das Identifizieren und Mitschneiden von übertragenen Daten im 433/868 MHz-Standard benötigt kein teures Equipment, da ein Großteil der Funksignalverarbeitung in der heutigen Zeit mittels Software gelöst werden kann. Die Rede ist von „Software Defined Radios“. Ein SDR-System führt einen großen Teil der Signalverarbeitung auf einem Universalrechner wie z.B. dem heimischen PC aus. Sämtliche Funksignale der verwendeten IoT-Standards können mit günstigen Geräten wie dem Nooelec NESDR SMArt v4 mitgeschnitten werden.

Dieser wird im Folgenden für den Empfang und die Analyse von drahtlosen Signalen verwendet.

BIld Nooelec NESDR SMArt v4

(Quelle / 21.06.2021 – 13:00 https://www.nooelec.com/store/media/catalog/product/cache/1/image/1200x/040ec09b1e35df139433887a97daa66f/1/0/100701_3_1.png)

 

Ein Arduino-Board inkl. 433 MHz-Transmitter, wie in folgender Abbildung zu sehen, kann dazu verwendet werden, die mitgeschnittenen Pakete wiederzugeben und somit die Steckdose zu steuern. Solche Transmitter lassen sich bereits für ein paar Euro in Online-Shops beziehen.

Bild Arduino-Board inkl. 433 MHz-Transmitter

(Quelle: NSIDE ATTACK LOGIC)

Im Folgenden werden kostenlose Software-Tools vorgestellt, die für den Empfang und Versand von Signalen verwendet werden können:

  • RTL-SDR (Linux/Empfang und Dekodierung von Daten sowie Versenden dieser)
    • Über den APT Paketmanager beziehbar.

 

Replay Attack

Wurde der RTL-SDR-Empfänger mit dem PC/Notebook verbunden, kann bei Betätigung der Steckdosenfernbedienung ein deutlicher Ausschlag in SDRSharp bei etwa 433 MHz identifiziert werden (siehe Abbildung 4):

(Quelle: NSIDE ATTACK LOGIC)

Wurde dieser Ausschlag identifiziert, können mit weiteren Tools die übertragenen Daten empfangen und dekodiert werden:

Das Tool rtl_433 wird dazu mit dem integrierten Pulse-Analyzer gestartet:

Copy to Clipboard

 

Wird nun die Ein- und Ausschalttaste der Steckdosenfernbedienung betätigt, kann das Signal in seiner Binärform automatisch aufgezeichnet und ausgegeben werden:

Copy to Clipboard

 

Copy to Clipboard

 

Generell lassen sich Analyse des Spektrums sowie Dekodierung auch mit weiteren Tools bewerkstelligen. Nachstehendes Beispiel zeigt den Empfang und die Dekodierung um Universal Radio Hacker:

Folgend wird das Signal zum Einschalten der Steckdose aufgezeichnet:

Bei Betätigung der Fernbedienung werden acht Pakete aufgezeichnet:

 

(Quelle: NSIDE ATTACK LOGIC)

 

Wie man in folgender Abbildung erkennen kann, gleichen die empfangenen Daten eines Pakets exakt den inversen Binärdaten, welche bereits manuell in rtl_433 identifiziert wurden.

(Quelle: NSIDE ATTACK LOGIC)

Ist es einem Angreifer möglich, solche Signale mitzuschneiden, können Geräte unter Verwendung geeigneter Transmitter angesteuert werden. SDRs, welche neben der Receiver-Funktion auch als Transmitter fungieren, wie z.B. HackRF, BladeRF oder USRP B200 wären mögliche Kandidaten. Für das Senden auf 433 MHz gibt es aber eine preiswertere Methode.

Das bereits erwähnte Arduino-Board inkl. 433 MHz-Transmitter kann dazu verwendet werden, die mitgeschnittenen Pakete wiederzugeben und somit die Steckdosen zu steuern.

 

Folgender Code auf dem Arduino schaltet im 300 Millisekunden-Takt die Steckdose ein und aus:

Copy to Clipboard

 

Wurde der Code dementsprechend angepasst und auf den Arduino geladen, kann beobachtet werden, wie die Steckdose im 300 ms-Zyklus ein- und ausgeschaltet wird. Dieses praktische Beispiel verdeutlicht die Dringlichkeit von Sicherheitsstandards bei solchen Funktechnologien. Replay-Angriffe lassen sich in der Regel durch gängige Verschlüsselungsmethoden vermeiden. Die Erfahrung zeigt jedoch, dass die meisten umlaufenden Produkte, die solche Funkstandards verwenden, unzureichend oder gar nicht gesichert sind. So konnten in verschiedensten Hardware-Audits Bestellpager für z.B. Fast-Food-Restaurants Einbauschalter zur heimischen Lichtsteuerung, Türklingeln, aber auch Alarmanlagen geschaltet werden.

Möchten Sie Ihre Geräte mit Drahtlostechnologien ausführlich testen lassen? Vereinbaren Sie ein persönliches Gespräch mit uns.