Durante la RSA Conference 2021, i ricercatori di cybersecurity J. J. Lehman e Ofri Ziv dell’azienda israeliana Guardicore hanno illustrato come sono riusciti a trasformare un telecomando Comcast Xfinity in un dispositivo di ascolto a distanza.
L’oggetto della ricerca è stato il telecomando del set-top box Xfinity X1 di Comcast, molto popolare negli Stati Uniti, che supporta i comandi vocali, per i quali è dotato di un microfono.
Nel dispositivo sono state implementate due tecnologie di trasferimento dati. Per cambiare canale e altre azioni semplici viene utilizzato un trasmettitore a infrarossi standard. Per i casi che richiedono una maggiore velocità di trasferimento dati, il telecomando usa un’interfaccia radio, che permette non solo di inviare dati al set-top box, ma anche di ricevere dati dallo stesso.
Dopo aver analizzato il firmware del telecomando, i ricercatori hanno determinato le alterazioni che avrebbero consentito al firmware di prendere il controllo del telecomando per accendere il microfono e trasmettere il suono sul canale radio.
Per caricare il firmware sul telecomando, preferibilmente senza contatto fisico, i ricercatori hanno poi esaminato in che modo il set-top box comunica con il telecomando e aggiorna il suo software, scoprendo che è il telecomando a dover avviare il processo di aggiornamento: ogni 24 ore, infatti, il telecomando invia una richiesta al set-top box e riceve una risposta negativa o un’offerta per installare una nuova versione del software, che viene scaricata dal set-top-box.
I ricercatori hanno anche trovato diversi difetti importanti nel meccanismo di comunicazione tra il telecomando e il box Xfinity: non controlla l’autenticità del firmware, quindi scaricherà e installerà qualsiasi firmware che il set-top box gli offra (o il computer dell’hacker che si spaccia per esso) e, anche se il set-top box e il telecomando si scambiano messaggi cifrati, la cifratura non è adeguata. Il telecomando accetta (ed esegue) i comandi inviati in plain text con la dicitura “encryption disabled” (cifratura disabilitata). Le richieste del telecomando sono ancora cifrate e quindi non possono essere decifrate, ma semplicemente comprendendo il meccanismo di comunicazione è possibile indovinare la richiesta inviata dal telecomando e dare la giusta risposta.
Infine, risulta abbastanza facile innescare un errore nel modulo del firmware che gestisce la comunicazione con il telecomando, facendo sì che il modulo vada in crash e si riavvii. In questo lasso di tempo il cybercriminale è l’unico che può inviare ordini al telecomando.
Quindi, per hackerare il telecomando bisogna: aspettare che il telecomando invii delle richieste e capire quando sta inviando una richiesta di aggiornamento; mettere fuori uso il modulo del set-top box responsabile della comunicazione con il telecomando nel momento in cui viene inviata la richiesta di aggiornamento e, infine, dare una risposta affermativa al telecomando e inviare un file modificato per il caricamento. Tutto ciò avviene senza contatto, attraverso l’interfaccia radio.
I ricercatori hanno aggiunto al loro telecomando un firmware modificato che richiedeva aggiornamenti non ogni 24 ore, bensì ogni minuto; alla ricezione di una certa risposta, si accendeva il microfono incorporato e veniva trasmesso il suono ai criminali informatici. I loro test hanno avuto successo a una distanza relativamente ampia e attraverso un muro, simulando le operazioni inviate da un furgone parcheggiato fuori di casa per le intercettazioni.
https://www.kaspersky.it/blog/rsa2021-tv-remote-listening-device/24729/