29C3: Großer Lauschangriff mit VoIP-Telefonen von Cisco
Sicherheitsforscher der Columbia University haben auf dem Hackerkongress demonstriert, wie Mikrofone in Hörern von internetbasierten Cisco-Telefonen in fernsteuerbare Abhörwanzen verwandelt werden können.
Sicherheitsforscher der Columbia University haben auf dem 29. Chaos Communication Congress (29C3) in Hamburg demonstriert, wie Mikrofone in Hörern von internetbasierten Telefonen von Cisco in fernsteuerbare Abhörwanzen verwandelt werden können. "Wir treffen uns um 4 Uhr nachmittags", raunte ein aus dem Zuhörerraum gefischter Unbeteiligter vor einem manipulierten Gerät, bei dem der Handapparat auf der Gabel lag. Wenige Sekunden später wurde der Text über eine zugehörige App auf dem Smartphone eines der Angreifer angezeigt, das über Bluetooth mit dem kompromittierten Telefon verknüpft war.
Es sei eine Art Raummikrofon, dessen Audioqualität ganz gut sei, erklärte der Promotionsstudent Ang Cui, der das Prinzip vorgeführt hatte. Jedes auf Voice over IP (VoIP) setzende Cisco-Telefon sei dafür anfällig, auch wenn das Unternehmen selbst nur die 7900-Serie betroffen sehe. Solche Geräte würden gerade in den USA fast überall eingesetzt, vor allem etwa in Büros oder Kliniken. Das Forscherteam habe sie aber auch auf Fotos von US-Präsident Barack Obama im Weißen Haus oder in der Air Force One gesichtet. Der frühere CIA-Chef David Petraeus sei auf einer Aufnahme gar mit drei Cisco-Telefonen im Hintergrund zu sehen.
Die Sicherheitsdokumentationen der Geräte machten zunächst einen soliden Eindruck, berichtete Cui. So werde nur eine elektronisch signierte Firmware eingesetzt, die Verschlüsselungsverfahren seien zertifiziert, die Angriffsflächen minimiert worden. Die Administrationsschnittstelle könne nur über verschlüsselte Protokolle wie HTTPS oder SSH angesteuert werden. Wie bei vielen eingebetteten Systemen üblich, befinde sich im Innern ein für allgemeine Zwecke nutzbarer Computer mit zwei Chips, wovon einer auf die Flash-Technik setze. Dazu komme eine Sprachmaschine und ein wenig Arbeitsspeicher. Zu erwähnen sei auch ein Schalter, der anzeige, wenn der Hörer nicht aufliege.
Die Unix-Variante CNU in Version 4.1 dient als Betriebssystem. Dessen Kernel habe über Funktionen zum Systemaufruf (Syscall) zur Kommunikation mit anderen Ebenen einige Schwachstellen aufgewiesen, führte Cui aus. Es sei damit möglich, "alles im System von der Nutzerseite aus zu kontrollieren", nach Belieben eigenen Code einzufügen und den Kernel in Besitz zu nehmen. Insgesamt seien 365 Variablen für Systemaufrufe vorgesehen, von denen 173 implementiert seien, ergänzte Cuis Kollege Michael Costello. 60 davon setzten den Kern des Betriebssystems außer Gefecht, was protokolliert werde und so Hinweise auf konkrete Angriffspunkte ergeben habe.
Nicht weitergekommen sei das Forscherteam bei dem Mikrofon für die Lautsprechanlage des Telefons, erläuterte Cui weiter. Dieses habe bei Betrieb immer eine Leuchtdiode aktiviert, was nicht abstellbar gewesen sei. Das Mikro im Hörer habe sich aber umprogrammieren lassen. Insgesamt seien drei Modifikationen im Innern des Geräts nötig gewesen: Über den Kernel sei die Ausgabe des Mikros auf hoch gestellt, der "Digital Signal Processor" (DSP) sei speziell auf die Abhörsituation ausgerichtet und in der Java Virtual Machine (JVM) die Anzeige für das Anheben des Hörers verändert worden.
Derzeit funktioniert der Angriff nur mit physischem Zugriff auf ein Cisco-Telefon. So muss in einen speziellen Port des Geräts ein kleiner Zusatzstecker eingeführt werden, den die Forscher mit Thingp3wn3r betitelt haben; mit ihm wird das Telefon mit dem Mobiltelefon zusammengeschaltet, das den Angriff steuert. Cui stellte aber auch mehrere Szenarien für vollständige Fernattacken vor. So seien die VoIP-Geräte in der Regel über ein spezielles LAN miteinander sowie mit einem TFTP-Server (Trivial File Transfer Protocol) verknüpft. Letzterem könne einfach gesagt werden, eine spezielle Datei etwa für Verschlüsselungsprozesse zu nutzen. So könne er leicht unter Kontrolle gebracht werden. Es sei aber auch denkbar, bekannte Schwachstellen in anderen "Embedded Systems" wie Druckern auszunutzen und so Wege zu finden, um auf dem Telefon beliebigen Code auszuführen.
Die Wissenschaftler haben Cisco nach eigenem Bekunden am 24. Oktober über das Sicherheitsproblem aufgeklärt. Eine Woche später hätten die Kalifornier geantwortet, dass ein Patch vorhanden sei. Der nicht automatisch abrufbare Patch führe aber nur dazu, dass das Betriebssystem der VoIP-Telefone abstürze, monierte Costello. Nun seien mit dem Angriff DoS-Attacken gegen die Geräte möglich. Deutlich weitergehende Abschirmmöglichkeiten für eingebettete Computersysteme wollen die Forscher auf Basis des staatlich geförderten Symbiote-Verfahrens auf der RSA-Sicherheitskonferenz in San Francisco im Februar 2013 vorstellen. (anw)