Sicherheitsforscher verwandeln Sonos-One-Lautsprecher in Wanze
Angreifer können über das eingebaute Mikrofon von Sonos-One-Lautsprechern Gespräche mitschneiden. Mittlerweile ist das Sicherheitsproblem gelöst.
- Uli Ries
Sicherheitsforscher sind eigenen Angaben zufolge im One-Lautsprecher von Sonos auf eine mittlerweile geschlossenen Schwachstelle gestoĂźen. DarĂĽber konnten sie die den Lautsprecher in einer Wanze verwandlen.
Vorbereitungen
In ihrer Präsentation auf der Black Hat 2024 zeigen die Sicherheitsforscher der NCC Group, wie viel Aufwand sie betreiben mussten, um die Schwachstelle in der Firmware des Sonos-Lautsprechers One zu entdecken. Dafür löteten sie ein Kabel an die freiliegenden UART-Pins auf dem Board des Lautsprechers, um dann unter anderem Kernel-Panic-Meldungen auszuwerten. Durch das Disassemblieren der Firmware fanden die Forscher einen Pufferüberlauf im Kernelmodul, das für die WLAN-Implementierung verantwortlich ist.
Exploit per WLAN-Paket
Nachdem Sonos den Forschern zufolge weder Kernel Address Space Layout Randomization (KASLR) noch Stack Canaries zur Warnung für Pufferüberläufe einsetzt, konnten sie den Bug im WLAN-Modul verlässlich ausnutzen.
Um den Speicherfehler auszulösen, nutzten sie das Linux-Tool wpa_supplicant, um einen Access Point (AP) zu simulieren. Der AP spannt ein WLAN mit dem gleichen Namen und Passwort auf, wie es der Lautsprecher erwartet.
Damit sich der Lautsprecher mit dem AP verbindet, genügen ein einzelnes De-Authentifizierungspaket und das stärkere Funksignal des APs. Am Ende des WPA-Handshakes zwischen Lautsprecher und dem AP schickt wpa_supplicant ein entsprechend modifiziertes Paket an den Sonos One und löst so den Pufferüberlauf aus.
Insgesamt passen rund 2300 Bytes in ein 802.11-Paket, sodass den Forschern nicht viel Speicherplatz blieb, um ihren kompletten Exploit unterzubringen. Mittels Tricks gelang es ihnen, ein Shellskript ins Handshake-Paket zu laden. Nach dem Ausführen lädt das Skript busybox vom Laptop der Forscher herunter, sodass ihnen eine größere Auswahl an Kommandozeilen-Tools zur Verfügung stehen.
Lautsprecher als Wanze
Nachdem sie so die Kontrolle über den Lautsprecher übernahmen, schoben sie noch ein in Rust geschriebenes Implant nach. Es lässt die Angreifer per Web-Interface die Stummschaltung des in den Lautsprecher eingebauten Mikrofons aufheben und anschließend eine Aufzeichnung starten – der Lautsprecher verwandelt sich so in eine vollständig von außen kontrollierbare Wanze.
Weil Sonos-Lautsprecher in der Regel durch automatische Updates mit der jeweils aktuellen Firmware versorgt werden, dürften es derzeit vergleichsweise wenig Sonos-One-Modelle geben, die noch für die Attacke anfällig sind. Welche Firmware konkret geptacht ist, geht aus dem Bericht der Forscher nicht hervor.
(des)