7/15/2017

BroadcomのWiFiチップに深刻な脆弱性 (Broadpwn)

Broadcom BCM43xx WiFiチップにリモートから任意プログラムが実行可能になる脆弱性、別名"Broadpwn" (CVE-2017-9417)が見付かったそうだ。Booster OKのブログより(1部, 2部)。なお、7月26-27日のBlackHatでバグ発見者がBroadpwnの発表を行う。

Androidは7月セキュリティアップデートで、iOSは10.3.1(おそらく、GoogleのProject Zeroが発見したバグの方)で修正されている。

@nitayartのBroadpwnバグの大雑把な解析

これはBroadpwnの2部構成の第1部である: 第2部はここにある。好奇心から、私は7月のAndroid Security Bulletinでパッチ化されたNitay ArtensteinBroadpwnバグ(CVE-2017-9417)を調べた。

TLDR

BroadpwnはBroadcom Wi-Fiチップ上のヒープ・オーバーフローである。これはデバイスが接続されたネットワークから不正な長さのWME(Quality-of-Service)情報要素を受信した時に動作させられる。接続せずにネットワークをスキャンするだけでは、このバグは動作しないように見える。

バグを発見した@nitayartによると、悪意のあるネットワークに接続する必要はないが、どのように動作するかは分からない。

これは、Broadcom WiFiを搭載した最近の多くのAndroidとiOSデバイスに影響すると思われるが、2017年6月のファームウェアを搭載したNexus 6Pにのみ影響し、私がテストしたiOSデバイスには影響するようには見えない。

デバイスを保護するには、既知の正常なネットワーうに接続することだけで、安全ではないネットワークでは自動接続を無効にする必要がある。

このバグについて他に何も知らない。ただの好奇心である。バグを発見した@nitayartが結果を示すのを待つべきである。


Wi-Fiでスマフォがクラッシュする: nitayartのBroadpwnバグ(CVE-2017-9417)を悪用すること

これはBroadpwnの2部構成の第2部である。第1部はここにある。

TLDR

悪意のあるWi-Fiネットワークの近くにいるなら、攻撃者は@nitayartBroadpwnバグを利用してWi-Fiチップを乗っ取り、Project Zero/@laginimainebの以前公表されたDMA攻撃であなたの携帯の残りの部分を乗っ取る。概念実証(PoC)として、私はこれらの2つのエクスプロイトを使ってNexus 6PのRAMを破損させ、クラッシュと再起動を引き起こす悪意のあるネットワークを作ってみた。

Hacker News