Исследование защищенности и выявление слабых мест беспроводных устройств ввода информации

Поскольку чипы семейства nRF24L настолько популярны, что подавляющее большинство производителей (не-Bluetooth) беспроводных клавиатур встраивает их в свою продукцию, то акцентирующее внимание в данном дипломном проекте направлено на исследование и оценку защищенности именно этих чипов.

Способы получения «MAC"-адреса клавиатуры

Единственным механизмом аутентификации в протоколе информационного взаимодействия является использование так называемого «MAC"-адреса клавиатуры. В чипах nRF24L за него отвечает содержимое поля адреса в структуре передаваемых пакетов. Исходя из проведенного выше анализа функционирования чипов семейства nRF24L, все принимаемые приемником пакеты, у которых значение поля адреса не совпадает со значением, хранящимся в регистре адреса приемника (RX_ADDR_Pх), отбрасываются, и данные не помещаются в очередь FIFO приёмника. Таким образом, для установления связи между рабочей беспроводной клавиатурой и сторонним устройством на базе чипа nRF24L01 этому устройству необходимо знать значение поля адреса передаваемых клавиатурой пакетов.

Ширина поля адреса целевого узла или оконечного устройства может быть определена от 3 до 5 байт (в беспроводных клавиатурах используется как правило 5 байт), то есть теоретически существует от 2553 до 2555 возможных адресов, лишь один из которых используется в текущем сеансе связи. Как будет показано далее это слишком большой диапазон для обычного перебора, что затрудняет возможность перехвата пакетов клавиатуры сторонним устройством. Задачу получения адреса сторонним устройством, построенным на базе чипа трансивера nRF24L01 можно решить, воспользовавшись нелегитимными настройками регистра, отвечающего за ширину поля адреса (регистр AW) в комбинации с ожиданием синхронизирующих последовательностей в поле адреса. Для начала необходимо снизить ширину поля адреса в регистре адреса приемника (RX_ADDR_Pх) до абсолютного минимума. На рисунке 11 представлены возможные значения регистра AW, отвечающего за ширину поля адреса.

Рисунок 8 — Возможные значения регистра ширины поля адреса Как видно из рисунка 8 в соответствии с документацией на чип nRF24L01 значение двух бит регистра ширины поля адреса равное «00» является нелегальным, однако при выставлении этого значения, ширина поля адреса становится равной двум байтам. В таком случае значительно сокращается время полного перебора всех возможных адресов.

Адрес так же можно получить, не прибегая к полному перебору, а установив двухбайтовый адрес равный значению синхронизирующей последовательности подобное тому, которое содержится в поле преамбулы передаваемых пакетов (например, 0×0055 или 0×00AA, где 0×55 или 0xAA в бинарном виде представлены как 1 010 101 и 10 101 010 соответственно и являются возможными значениями преамбулы передаваемых клавиатурой пакетов). Таким образом чип nRF24L01, слушая эфир при приеме очередного пакета ошибочно принимает значение преамбулы (последовательность 1 010 101 или 10 101 010) за легальный адрес узла получателя, которому передается текущий пакет. После чего все последующие за преамбулой данные помещаются в очередь FIFO приёмника, следовательно, искомый адрес будет лежать в начале поля данных (поле payload).

На рисунке 9 представлен описанный выше механизм.

Рисунок 9 — Механизм получения адреса, используя минимальную ширину поля адреса с ожиданием преамбулы в качестве адреса.

Определение номера частотного канала

На пути реализации задачи приема пакетов данных передаваемых беспроводными клавиатурами стоит проблема определения номера частотного канала в текущем сеансе связи. Исходя из анализа документации в большинстве клавиатур обмен данными осуществляется на одном канале как можно дольше. В случае, если активный канал становится непригодным для использования происходит автоматическое переключение на другой канал. Поскольку алгоритм переключения частот неизвестен, то общим подходом к решению задачи определения частоты будет являться последовательное прослушивание каждого частотного канала в течении некоторого таймаута с ожиданием приема данных. Снижение временных ресурсов на прослушивание всех каналов может быть достигнуто путем определения рабочего частотного диапазона конкретной модели клавиатуры исходя из обзора документации на нее.