BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース ハードウェア攻撃によりnRF52デバッガーが露呈

ハードウェア攻撃によりnRF52デバッガーが露呈

ブックマーク

原文(投稿日:2020/07/14)へのリンク

最近のNordic nRF52チップに対するハードウェア攻撃では、チップレベルのデバッグ機能を利用するためにローカルアクセスを使用している。このデバッグ機能は、ソフトウェアではパッチを適用できないシリコンに存在するものである。Nordicはこの問題を特定し、チップがフォールトインジェクションに対抗できないため、デバイスメーカーにエンクロージャの入口を検出するように促した。

nRF52チップは、Bluetooth、2.4Ghzメッシュ、近距離無線通信(NFC)などのワイヤレス通信機能を提供するために、多くのデバイスで使用されている。このチップのバージョンは、一般的な消費者向けハードウェアだけでなく、産業用および病院用機器にも搭載されている。Nordicの出版物の2018年秋版である Ultra Low Powerless Wireless Qには、さまざまなデバイスでこのチップセットを使用している組織の使用例と紹介文のサンプルを提供している。Nordicの2020年第1四半期の投資家向け情報には、COVID-19を追跡するためのスマート温度計で使用されるチップがリスト化されている。「これらの温度計はすべてNordicのnRF52810 SoCを介して接続されている。もう1つの例は、3月に[企業]がnRF52832を介して接続する新しいブレスレットトラッカーを発表したことである」。研究者のLimitedResultsは、nRF52810とnRF52832の両方が脆弱であると述べており、Logitech PRO-Gマウスに対する攻撃をデモしている。

LimitedResultsは、過去に同様の電圧グリッチ技術を使用してESP32などの他のチップセットを攻撃した電圧グリッチは、ワイヤをチップのピンに直接接続し、戦略的なタイミングでピンの追加電圧のタイミングを調整することで機能する。これにより、ハードウェアをだまして異なるビットセットを受信させ、製造元が設定したものとは異なる命令セットを生成する。nRF52攻撃では、LimitedResultsはSegger J-linkプローブを使用して、SWDCLK(クロック信号)とSWDIO(双方向データ)の2つのピンと、デバイスの電源ピンであるVDD_NRFとGNDに接続した。これらのピンをPythonスクリプトに対してタイミングを合わせると、攻撃によってチップのアクセスポート保護(APProtect)が無効になり、デバッグアクセスができるようになる。通常、APProtectは「すべてのCPUレジスタとメモリマップアドレスへのデバッガの読み取り/書き込みアクセスがブロックされる」よう機能するが、これが適用されなくなり、デバッガは再び値の読み取りと変更にアクセスできるようになる。

脆弱性の発覚は、軽減と開示に関してNordicと直接協力して取り組んだ後に文書化されている。脆弱性の開示は、組織がレポートを受け取り、研究者が業界で認められた慣行に沿って調査結果を公開する方法によりISO 29147:2018に記載されている。脆弱性レポートを受け取る1つの例は、バグ報奨金プログラム、あるいはスポンサーがつく調査である。Appleのバグ報奨金プログラムは、ローカルアクセスを必要とするハードウェア攻撃のカテゴリを提供しており、ロック画面のバイパスに10万ドル、ユーザーデータの抽出に25万ドルの支払うとしている。Nordic Semiconductorはバグ報奨金を運営していないが、連絡先情報を含むNordic製品のセキュリティページを持っている。

InfoQは、BugCrowdの運用担当シニアディレクターであるGrant McCracken氏と話をした。彼は、研究者と組織の間の仲介役として機能するクラウドソーシングされたセキュリティプラットフォームを提供する。「この攻撃は、ほとんどがファームウェアに対するものであるという点でユニークである。リモートコード実行、どのデバイスの動作に対する攻撃かなどである」。BugCrowdは、HP、NetGear、Arubaなどのデバイスメーカー向けにいくつかのバグ報奨金プログラムを運営している。nRF52チップに対する攻撃は、デバイス内の基盤となるシリコンチップを危険にさらすという点でユニークである。仲介者が役立つ1つの領域は、報奨金の価格設定を理解することである。McCracken氏は「欠陥を見つけることと、それを武器にすることは別のことである」と説明している。武器化された攻撃は、ターゲットに対して繰り返し可能で影響力のある攻撃である。物理的なアクセスを必要とする攻撃は、大規模な再現性は低くなるが、非常に影響が大きく、検出が難しい場合がある。米国国家情報長官事務所は、サプライチェーンの脅威に関する公開ページを持っており、4月を「全国サプライチェーン整合性月間」と指定している。

ハードウェアサプライチェーン攻撃は、さまざまな組織や軍事ユニットに対して同じように顕著なリスクをもたらす。Microsoftの顧問弁護士であるCristin Goodwin氏とサイバーセキュリティソリューショングループのゼネラルマネージャーであるJoram Borenstein氏は、ハードウェアサプライチェーンを守る方法を確立するために協力した。二人は、サプライチェーンにおけるハードウェアとファームウェアの攻撃に対する3つの主要なリスクを指摘している。ハードウェアは適切な隠れ場所になり、ハードウェア攻撃は調査がより複雑になり、ハードウェアの問題は解決に費用がかかる。Interceptは、類似の出来事などの直接の例を含む、サプライチェーンハードウェア攻撃に関する攻撃と防御を説明しているさまざまなドキュメントを集めた。ネットワークインターフェイスカードは、メモリに書き込むことができることからカスタマイズされたマルウェアの配置場所となりうるとして、Intellipediaに一例として登録されている。チップレベルデバッガが再度有効になることで、チップのメモリへのアクセスできるようになり、攻撃者が他のベクトルを探索できるようになる。

ソフトウェアの脆弱性がコンポーネントを介して多くのアプリケーションに影響を与えるため、多くの企業はソフトウェア構成分析の戦略を使用して、さまざまなライブラリがデプロイされている場所を追跡している。Apache Commons-CollectionsのEquifaxハックの場合、組織は構成分析を使用してCommon Vulnerabilities and Exposures(CVE)を評価し、脆弱なライブラリを直接または一時的な依存関係として出荷するアプリケーションを特定できる。IoTベンダーは、ハードウェアの部品表を監視して、デバイスが脆弱なチップを使用しているかどうかを理解しながら、同様の戦略を検討できる。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT