wifi芯片研究

本文深入探讨了WiFi芯片的安全性,特别是在博通芯片上。作者指出,由于不受ASLR保护且具有RWX权限,博通芯片存在潜在攻击面。文章详细介绍了WiFi芯片的固件逆向工程,包括不受完整性检查的固件修改可能性,以及通过ROM和RAM中的thunk表进行代码更新和修复的机制。此外,还讨论了数据包处理流程和在VMG-1312路由器源代码中发现的博通专有代码。研究聚焦于找到漏洞并理解数据包处理,以寻找潜在的攻击途径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


Author: Crystal

2018/1/5


0x00:细节研究

细节一

ASLR和DEP

首先研究wifi芯片漏洞作为突破口,是因为手机对主应用处理器做的保护已经比较难实现攻击了

细节二

由于对电源的考虑导致设备设计人员选择应用 FullMAC WiFi 实现方式,这样 WiFi 芯片是自行负责处理 PHY,MAC 和 MLME ,并自行传输准备好的内核驱动程序数据包,这也就是说 WiFi 芯片是会自行处理可能被攻击者控制的数据输入。

在选择攻击面的考虑时,还有一个因素影响了我们的选择。在博通芯片上进行测试的时候,我们欣喜地发现,它不受 ASLR 保护,而整个 RAM 都有 RWX 许可——这意味着我们可以在内存中的任何地方进行读,写和运行代码的操作!==但是在 Shannon 、联发科技、以及高通的基带中存在 DEP 机制的保护,所以相对而言,更难进行漏洞利用。 ==

这一点结合之前的研究难点来看,我们需要处理的部分是找到wifi芯片向内核驱动程序传输数据包的过程,以及传输完后怎么在内核驱动中执行。这一点来看,确实需要wifi内核驱动相关的知识。

细节三

在不算特别详尽的研究中,我们发现以下智能手机的型号使用的是博通的 WiFi 芯片:

部分三星 Galaxy 系列的 S3 至 S8
所有三星 Notes 3,Nexus 5, 6, 6X 和 6P
所有 iPhones  5 之后的型号

芯片的型号则是从 BCM4339 到 BCM4361型号。

芯片固件的逆向工程和调试相对简单,因为每次芯片重制后的主 OS 都将未加密的固件二进制程序加载到芯片的 RAM 中,由此,只是通过手机系统的简单搜索就足以定位博通固件的地址。但如果在 Linux 内核上,这样的路径通常会在配置的变量 BCMDHD_FW_PATH 中定义。

我们之后又发现了另一件让人高兴的事情,固件上并不会对完整性进行检验,==也就是说攻击者可以

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值