Hacking gadget: Crazyradio PA voor draadloze invoerapparatuur

Marco den Teuling4 november, 2019• min. leestijd

De Crazyradio PA radiostick dient eigenlijk voor het op afstand besturen van drones. Maar hackers kunnen er ook draadloze muizen en toetsenborden mee overnemen. Ook bij PowerPoint-presentaties kan de stick van pas komen. We hebben deze hacking gadget bekeken.

Met de Crazyradio PA kunnen hackers misbruik maken van de onveiligheid van invoerapparatuur die via radiosignalen met een pc communiceert, zoals muizen en toetsenborden. De fabrikant bitcraze heeft het apparaat eigenlijk ontwikkeld voor het op afstand bedienen van de eigen Crazyflie-quadrocopter. Hij wordt standaard dan ook geleverd met firmware voor dronebesturing.

draadloos toetsenbord muis hack beveiliging Crazyradio PA MouseJack

Maar in de handen van een hacker duurt dat niet lang. Die weet namelijk wel raad met de radiochip van het type nRF24LU1+, die de fabrikant ook heel praktisch heeft voorzien van een zend- en ontvangstversterker. Daarmee wordt het bereik vergroot tot wel een kilometer. Als je andere firmware op de stick zet, kan die de zogeheten promiscuous mode gebruiken. In die modus vangt de Crazyradio alle pakketten op die voorbijkomen, ook al zijn ze niet gericht aan het MAC-adres van de radiostick. Daardoor kun je op de 2,4GHz-band uitkijken naar andere apparaten die dezelfde chip gebruiken en ermee communiceren. Die nRF24-chips kom je heel vaak tegen in draadloze muizen en toetsenborden. Dat is natuurlijk een dankbaar doelwit voor hackers, omdat daarmee vaak gevoelige gegevens zoals wachtwoorden worden ingevoerd.

MouseJack

Toen de hacker Marc Newlin verschillende draadloze desktop-sets met de genoemde chip onderzocht, ontdekte hij dat veel van die toetsenborden en muizen hun gegevens niet versleutelen. Andere gebruiken de AES-coprocessor van de nRF24 wel om de toetsaanslagen te versleutelen, maar niet die van de muis.

Dat bracht Newlin op het idee om zich met Crazyradio bij de ontvanger aan te melden als muis, om gegevens onversleuteld te kunnen versturen. In plaats van muisklikken verzond Newlin echter toetsaanslagen. Dat bleek in de praktijk gewoon te werken: de MouseJack-aanval was geboren.

Sommige usb-ontvangers controleren niet of het bij de zogenaamd van de muis afkomstige onversleutelde pakketten wel gaat om muisinvoer. Ze accepteren ook toetsenbordopdrachten via dat kanaal. Op die manier kan een pc vanaf afstand draadloos overgenomen worden. De MouseJack-software en de bijbehorende firmware voor de stick zijn kosteloos beschikbaar op internet.

PowerPoint-chaos

Er was nog niet zo veel bekend over draadloze apparaten zoals een zogeheten ‘wireless presenter’ waarmee je PowerPoint-presentaties bedient. Ook sommige daarvan gebruiken de nRF24-chip, zoals bepaalde hardwarerevisies van de populaire Logitech Presenter R400. Een gebruiker hoeft alleen de bijbehorende draadloze ontvanger via usb aan te sluiten op een computer en kan dan vervolgens gewoon door de PowerPoint-dia’s bladeren. Dat lijkt vrij ongevaarlijk. De pentesters van SySS vroegen zich af hoe dat eigenlijk werkte.

NB: Logitech heeft een firmware update voor de Unifying Receiver uitgebracht om de beveiliging te verbeteren.

Dat bleek heel eenvoudig: de dongle doet zich gewoon voor als een usb-toetsenbord. Druk je op de knop ‘volgende’ of ‘vorige’ op de Presenter, dan verstuurt hij draadloos de toetsaanslag Page Up respectievelijk Page Down naar de computer. De pentesters van SySS onderzochten met de Crazyradio PA de draadloze verbinding tussen de Presenter en dongle en ontdekten dat daarbij geen enkele versleuteling wordt gebruikt. De security-experts verstuurden vervolgens andere letters buiten die toetsaanslagen naar de ontvanger. Die werden klakkeloos geaccepteerd. Als ze de code voor de toets a verzonden, werd op de pc op de a gedrukt. Op die manier kunnen willekeurige commando’s worden verstuurd.

De mogelijkheden van zo’n aanval houden niet op bij het voor de grap inbreken op een lezing om ineens een Rick Astley-video op het grote scherm te toveren. Zoals bij alle toetsenbordaanvallen is ook een permanente infectie van het getroffen systeem mogelijk. Als je echt op safe wilt spelen, kun beter uitwijken naar een wireless presenter die via bluetooth werkt.

Hacking gadget
Crazyradio PA
Fabrikant	bitcraze
Doelwitten	muis, toetsenbord, presenter
Shoplink en prijs	Crazyradio PA, circa 35 euro

Lees meer over hacking gadgets en beveiliging in c't. Nieuwste uitgave: c't 05/2024

Bestel nu

Marco den TeulingHad als eerste eigen computer ooit een 16-bit systeem, waar van de 48 kilobyte toch echt niet ‘genoeg voor iedereen’ was. Sleutelt graag aan pc’s, van de hardware tot het uitpluizen van de BIOS-instellingen. Vindt ‘Software as a Service’ een onbedoeld ironische naamgeving.

Chromecast met Google TV review: beter dan de Chromecast (Ultra)?

In deze review bespreken we of de Google Chromecast met Google TV, die beschikt over een eigen grafische interface, apps en een afstandsbediening, han...

reviews•Google Smart homes Streaming

Vandaag, 10:00

OWC Express 4M2 review: externe behuizing voor maar liefst 4 M.2-ssd’s

Als je geen opslagruimte meer hebt in je laptop, is er altijd nog de optie om een externe ssd aan te sluiten. Als je daar echter nog steeds niet genoe...

reviews•Synology

22/04/2024

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Hacking gadget: Crazyradio PA voor draadloze invoerapparatuur

MouseJack

PowerPoint-chaos

Hacking gadget

Lees meer over hacking gadgets en beveiliging in c't. Nieuwste uitgave: c't 05/2024

Lees ook

Chromecast met Google TV review: beter dan de Chromecast (Ultra)?

OWC Express 4M2 review: externe behuizing voor maar liefst 4 M.2-ssd’s

Lees ook

Softlink

Blijf op de hoogte!

Hacking gadget: Crazyradio PA voor draadloze invoerapparatuur

MouseJack

PowerPoint-chaos

Hacking gadget

Lees meer over hacking gadgets en beveiliging in c't. Nieuwste uitgave: c't 05/2024

Deel dit artikel

Lees ook

Chromecast met Google TV review: beter dan de Chromecast (Ultra)?

OWC Express 4M2 review: externe behuizing voor maar liefst 4 M.2-ssd’s

Lees ook

Softlink

Blijf op de hoogte!