O controle remoto de TV XR11, da Comcast — que tem um recurso de controle de voz muito elogiado — tinha uma falha de segurança que poderia, em teoria, permitir que um hacker usasse o dispositivo para grampear sua sala de estar. Esse modelo de controle remoto é dos mais difundidos no mercado americano, presente em cerca de 18 milhões de residências nos EUA. O ataque denominado WarezTheRemote, foi remediado pela Comcast com a ajuda da Guardicore, empresa israelense de segurança cibernética.
A técnica empregada é a conhecida como man-in-the-middle, em que, normalmente, um roteador Wi-Fi é empregado para interceptar conversas. No caso, foram utilizadas as ondas de radiofrequência que possibilitam a comunicação entre o controle remoto em si e seu set-top box ligado a ela para captar conversas, aproveitando vulnerabilidade na entrega de atualizações de firmware pelo ar para inserir software malicioso. Por isso a equipe do Guardicore Labs denominou o ataque WarezTheRemote, Warez significando software ilegalmente copiado.
O ataque não exigia qualquer contato físico com o controle remoto visado ou com a vítima: qualquer transceptor de radiofrequência de baixo custo permitiria ao hacker assumir um aparelho de controle remoto XR11. Usando uma antena de 16dBi, a equipe da Guardicore conseguiu ouvir conversas em uma casa a cerca de 20 metros de distância — que poderia ter sido ampliada facilmente com equipamentos mais potentes.
Como foi a descoberta
A pesquisa em segurança nos datacenters corporativos levou a equipe do Guardicore Labs a examinar dispositivos domésticos capazes de se conectarem com datacenters a distância. Nesse contexto, foi descoberta uma maneira de abrir um shell sobre Ethernet em um set-top box Xfinity X1 — o que ainda necessitava acesso físico ao hardware da caixa.
Depois de relatar o problema à Comcast, a quem pertence a marca Xfinity, o time do Guardicore Labs decidiu examinar o controle remoto de voz XR11, que vem com o set-top box. O XR11 tem um botão de microfone que, pressionado, habilita comandos de voz para o decodificador, facilitando ao usuário mudar de canal, pesquisar programas de TV, encontrar recomendações, etc.
Veja isso
FGX traz chip anti-espionagem para o Brasil
Espionagem de 70 mil celulares do Brasil à venda na dark web
Ao contrário dos equipamentos mais antigos, a comunicação do controle remoto com o set-top box não é feita por infravermelho, mas por radiofrequência. A combinação de recursos de gravação com comunicação por radiofrequência por si só pode ser bastante interessante para um hacker interceptar o som ambiente. Além disso, esse tipo de controle remoto é capaz de receber atualizações de firmware automaticamente pelo ar, o que facilita também sua invasão, chegando a ser o principal vetor de ataque para esse tipo de equipamento —e isso também já foi remediado pela Comcast, que passou a exigir uma autenticação para as atualizações.
Por meio de engenharia reversa do firmware do controle remoto e do software com o qual ele se comunica no decodificador, o time da Guardicore encontrou uma vulnerabilidade na maneira como o controle remoto lidava com os pacotes de radiofrequência de entrada.
O controle remoto se comunica com o decodificador pelo protocolo RF4CE (Radio Frequency for Consumer Electronics), que é um subconjunto da família Zigbee de protocolos de radiofrequência de economia de energia. Esse protocolo possui um recurso chamado “segurança” para criptografar o conteúdo dos pacotes RF4CE. Em teoria, essa criptografia deveria ter evitado que um invasor externo injetasse seus pacotes na conexão. Porém, na implementação do XR11, a segurança RF4CE é definida pacote por pacote. Cada pacote RF4CE possui um byte de “sinalizadores” e quando um de seus bits é definido como 1, a segurança é habilitada para esse pacote e seu conteúdo será criptografado.
Da mesma forma, se o bit não estiver definido, o pacote será enviado. Ou seja, o firmware original do XR11 não verificava se as respostas às solicitações criptografadas também eram criptografadas. Assim, se um invasor dentro do alcance de radiofrequência respondesse às solicitações de saída (criptografadas) do controle remoto em texto simples, esse controle aceitaria suas respostas.
Seria possível ao hacker aproveitar-se desse comportamento passando-se pelo conversor com qual o controle remoto havia sido emparelhado. Combinada à vulnerabilidade que permitia a instalação de uma imagem de firmware não assinada, o invasor seria facilmente capaz de instalar o software de escuta.
