포스팅 내용

국내외 보안동향

Comcast 케이블 리모컨, 도청 목적으로 원격 해킹 가능해

Comcast cable remotes hacked to snoop on conversations

 

보안 연구원들이 ComcastXR11 Xfinity Voice Remote를 분석하던 중 물리적 접근이나 사용자와의 상호작용 없이도 도청 장치로 전환할 수 있는 방법을 발견했습니다.

 

WarezThe Remote라 명명된 이 공격은 리모컨의 제어권을 탈취하여 약 20미터 거리에서도 대화를 도청할 수 있습니다.

 

단방향 암호화

 

적외선을 사용하는 일반 리모컨과는 달리 ComcastXR11은 무선 주파수를 사용하여 케이블 셋톱 박스와 통신하며, 음성 명령을 수신하는 내장 마이크가 포함되어 있습니다. 이 기기의 1,800만 대 이상이 미국 전역의 가정에서 사용되고 있습니다.

 

Guardicore의 연구원들이 두 기기가 어떻게 통신하는지 이해하기 위해 리모컨의 펌웨어 및 셋톱박스의 소프트웨어를 조사했습니다.

 

이들은 통신 암호화를 담당하는 RF4CE (Radio Frequency for Consumer Electronics) 프로토콜 구현에서 취약점을 발견했습니다.

 

“XR11 구현에서 RF4CE 보안은 패킷 단위로 설정되어 있습니다. RF4CE 패킷은 플래그바이트를 가지고 있어, 비트 중 하나가 1로 설정되었을 경우 해당 패킷에 대한 보안이 활성화 되었으며 내용은 암호화될 것입니다. 해당 비트가 설정되어 있지 않을 경우 패킷은 평문 상태로 전송될 것입니다.”

 

연구원들은 XR11 펌웨어가 리모컨으로부터 암호화된 요청에 대한 평문 응답을 수락한다는 것을 발견했습니다. 이로써 공격자는 요청의 내용을 추측하여 셋톱박스로 가장해 악성 응답을 생성할 수 있게 됩니다.

 

또한 펌웨어 업데이트에 대한 서명 검사 과정이 누락되어 악성 이미지가 설치될 수 있습니다.

 

펌웨어 확인은 매 24시간 마다 이루어지며 요청 패킷은 암호화됩니다.

 

그러나 Guardicore의 연구원들은 요청이 펌웨어와 관련되어 있음을 나타내는 암호화되지 않은 바이트를 발견했습니다. 따라서 내용을 짐작하는 것이 가능해 집니다.

 

이러한 세부 정보를 통해 연구원들은 평문 패킷을 통해 리모컨에게 펌웨어 업데이트가 준비되었다고 알리며 XR11 테스트 유닛을 플래시하도록 요청할 수 있습니다.

 

연구원들은 초기 테스트에서 리모컨의 LED 중 하나가 다른 색으로 깜빡이도록 펌웨어를 수정할 수 있었습니다. ()

 

연구원들은 마이크를 활성화하여 음성 제어 기능을 사용하기 위해 리모컨의 펌웨어를 리버스 엔지니어링 하여 음성 녹음 버튼의 코드를 찾아냈습니다.

 

이들은 사용자가 버튼을 눌렀을 때가 아닌 매 분 마다 녹음 요청이 발생하도록 소프트웨어를 수정했습니다. 이 요청에 응답할 경우 10분 동안 녹음하는 것이 가능합니다.