Hacking gadget: Crazyradio PA voor draadloze invoerapparatuur

De Crazyradio PA radiostick dient eigenlijk voor het op afstand besturen van drones. Maar hackers kunnen er ook draadloze muizen en toetsenborden mee overnemen. Ook bij PowerPoint-presentaties kan de stick van pas komen. We hebben deze hacking gadget bekeken.

Met de Crazyradio PA kunnen hackers misbruik maken van de onveiligheid van invoerapparatuur die via radiosignalen met een pc communiceert, zoals muizen en toetsenborden. De fabrikant bit­craze heeft het apparaat eigenlijk ontwikkeld voor het op afstand bedienen van de eigen Crazyflie-quadrocopter. Hij wordt standaard dan ook geleverd met firmware voor dronebesturing.

Maar in de handen van een hacker duurt dat niet lang. Die weet namelijk wel raad met de radiochip van het type nRF24LU1+, die de fabrikant ook heel praktisch heeft voorzien van een zend- en ontvangstversterker. Daarmee wordt het bereik vergroot tot wel een kilometer. Als je andere firmware op de stick zet, kan die de zogeheten promiscuous mode gebruiken. In die modus vangt de Crazyradio alle pakketten op die voorbij­komen, ook al zijn ze niet gericht aan het MAC-adres van de radiostick. Daardoor kun je op de 2,4GHz-band uitkijken naar andere apparaten die dezelfde chip gebruiken en ermee communiceren. Die nRF24-chips kom je heel vaak tegen in draadloze muizen en toetsenborden. Dat is natuurlijk een dankbaar doelwit voor hackers, omdat daarmee vaak gevoelige gegevens zoals wachtwoorden worden ingevoerd.

Toen de hacker Marc Newlin verschillende draadloze desktop-sets met de genoemde chip onderzocht, ontdekte hij dat veel van die toetsenborden en muizen hun gegevens niet versleutelen. Andere gebruiken de AES-coprocessor van de nRF24 wel om de toetsaanslagen te versleutelen, maar niet die van de muis.

Dat bracht Newlin op het idee om zich met Crazyradio bij de ontvanger aan te melden als muis, om gegevens onversleuteld te kunnen versturen. In plaats van muisklikken verzond Newlin echter toetsaanslagen. Dat bleek in de praktijk gewoon te werken: de MouseJack-aanval was geboren.

Sommige usb-ontvangers controleren niet of het bij de zogenaamd van de muis afkomstige onversleutelde pakketten wel gaat om muisinvoer. Ze accepteren ook toetsenbordopdrachten via dat kanaal. Op die manier kan een pc vanaf afstand draadloos overgenomen worden. De MouseJack-software en de bijbehorende firmware voor de stick zijn kosteloos beschikbaar op internet.

Er was nog niet zo veel bekend over draadloze apparaten zoals een zogeheten ‘wire­less presenter’ waarmee je PowerPoint-­presentaties bedient. Ook sommige daarvan gebruiken de nRF24-chip, zoals bepaalde hardwarerevisies van de populaire Logitech Presenter R400. Een gebruiker hoeft alleen de bijbehorende draadloze ontvanger via usb aan te sluiten op een computer en kan dan vervolgens gewoon door de PowerPoint-dia’s bladeren. Dat lijkt vrij ongevaarlijk. De pentesters van SySS vroegen zich af hoe dat eigenlijk werkte.

NB: Logitech heeft een firmware update voor de Unifying Receiver uitgebracht om de beveiliging te verbeteren.

Dat bleek heel eenvoudig: de dongle doet zich gewoon voor als een usb-toetsenbord. Druk je op de knop ‘volgende’ of ‘vorige’ op de Presenter, dan verstuurt hij draadloos de toets­aanslag Page Up respectievelijk Page Down naar de computer. De pentesters van SySS onderzochten met de Crazyradio PA de draadloze verbinding tussen de Presenter en dongle en ontdekten dat daarbij geen enkele versleuteling wordt gebruikt. De security-experts verstuurden vervolgens andere letters buiten die toetsaanslagen naar de ontvanger. Die werden klakkeloos geaccepteerd. Als ze de code voor de toets a verzonden, werd op de pc op de a gedrukt. Op die manier kunnen willekeurige commando’s worden verstuurd.

De mogelijkheden van zo’n aanval houden niet op bij het voor de grap inbreken op een lezing om ineens een Rick Astley-video op het grote scherm te toveren. Zoals bij alle toetsenbordaanvallen is ook een permanente infectie van het getroffen systeem mogelijk. Als je echt op safe wilt spelen, kun beter uitwijken naar een wireless presenter die via bluetooth werkt.