30C3: Trau niemals einer Speicherkarte

Der frühere "Xbox-Hacker" Andrew "Bunnie" Huang und sein Kollege Xobs zeigten am Sonntag auf dem 30. Chaos Communication Congress in Hamburg in einer Live-Demo, wie sich Mikrokontroller in SD-Karten über ein Linux-System ansprechen und unauffällig umprogrammieren lassen. Der Hack ermögliche es nicht nur, die Geräte an eigene Bedürfnisse anzupassen und in eine Speicherplattform für alle erdenklichen Daten nach Art einer kleinen externen Festplatte zu verwandeln, führte Bunnie aus, sondern erlaube auch vielfältige Angriffe auf Rechner, sobald der Nutzer eine umprogrammierte SD-Karte in den Computer steckt. Sogenannte "Man in the Middle"-Attacken seien die nächstliegenden Beispiele für derartige Übergriffe.

Weiter könne ein Angreifer die Speichergröße einer Karte manipulieren, erläuterte Huang. Der belegbare Platz erscheine dann kleiner als in Wirklichkeit, während die restlichen Kapazitäten mit beliebigen Daten gefüllt seien, die sich für gezielte Attacken in Stellung bringen ließen. Der Phantasie von Angreifern seien dabei kaum Grenzen gesetzt, da es bislang keine einfache Methode gebe, das Medium auf versteckte Programme zu überprüfen. Eine aktive Attacke über einfache Malware sei auf diesem Weg allerdings schwierig zu implementieren, da letztlich das jeweilige Gerät, in das die Karte gesteckt werde, die Kommunikation mit ihr bestimme.

Die Hacker erprobten ihre Künste zunächst an zwei älteren SD-Karten mit einem AX211-Mikrokontroller von AppoTech, später auch an solchen mit dem AX215, die sie sich auf einem Technikmarkt in der chinesischen Stadt Shenzhen besorgten, wo vergleichbare Speichermedien zu Zehntausenden verhökert würden. Bunnie ist sich sicher, dass der Hack auch bei vielen anderen SD-Karten, Micro-SD- oder SSD-Ablegern, USB-Kontrollern oder Flashchips funktioniert. Deutlich leistungsfähigere MMC- oder eMMC-Karten von Samsung oder iNAND-Speicher hat das Duo ebenfalls ins Visier genommen. Es vermutet, dass darüber etwa auch Android-Smartphones verwundbar sein könnten, in denen diese Multimedia-Speicher häufig Verwendung finden.

Für die Analyse der mit einem AX211 bestückten Karte verwendete das Team eine Inspektionsumgebung mit einem Novena-Laptop mit zahlreichen nicht-alltäglichen Anschlussmöglichkeiten im Zentrum, dessen Entwicklung Huang seit einem Jahr vorangetrieben hat. Um die eigentliche Speicherhardware unzerstört aus der Plastikhülle zu befreien, verwendeten die Hackern einen Drahtschneider und einen Schraubenzieher. Den Chip mit Kontroller verpflanzten sie in eine selbstentworfene Hardware-Umgebung, die sich mit dem Novena verbinden ließ. So konnten sie dessen Hauptspeicher auslesen oder überschreiben, einen Flashspeicher emulieren oder Spuren der Kommunikation zwischen einzelnen Komponenten aufzeichnen.

Mithilfe der chinesischen Suchmaschine Baidu sei auch rasch eine Windows-Software zu entdecken gewesen, um die Karte mit einigen Funktionen zu programmieren, ergänzte Xobs. Diese habe es den Tüftlern ermöglicht, die nutzbare Speichergröße oder den Herstellercode festzulegen. Es folgte ein längeres Experimentieren mit Befehlen des SD-Protokolls und das Aufspüren verdeckter Kommandos zum Ansprechen des Mikrokontrollers, bei der die Eingabe der Sequenz "A, P, P, O" eine entscheidende Rolle spielte. So gelang es dem Duo mithilfe des Disassemblers IDA und einem "Fuzzing"-Test für nutzbare Funktionsregister, eigenen Code auszuführen und das ersehnte "Hello World" ausgespuckt zu bekommen.

In chinesischen Fabriken für SD-Karten gebe es kaum Zutrittskontrollen, berichtete Huang. Dort gelange man ungestört bis zu den Fertigungsmaschinen und könne etwa für den Herstellungsprozess wichtige Dateien austauschen. Insgesamt seien die Margen in der Branche sehr gering, sodass die Mittel zum Absichern der Beschaffungskette fehlten. Häufig würden alte Komponenten verwendet und lediglich deren bisher nicht nutzbare Speicherblöcke erschlossen, um wettbewerbsfähig zu bleiben. Empfehlungen, welche Speicherkarten man noch mit halbwegs ruhigem Gewissen nutzen könne, wollten die beiden Hacker nicht abgeben. Speichermedien größerer Hersteller wie SanDisk, die ohne externe Zulieferer und Dienstleister auskämen, dürften aber zumindest etwas besser vor unerwünschten Manipulationen geschützt sein. (dwi)