Coprocessor-aanvallen: een verborgen dreiging

James-Plouffe

Door James Plouffe, Lead Solutions Architect bij MobileIron

Gesprekken over IT-beveiliging worden gedomineerd door botnets, ransomware, DDoS-aanvallen, kwetsbaarheden in Internet of Things-apparatuur, open source-software en de discutabele staat van informatiebeveiliging. De relevantie van deze vraagstukken is onbetwist. Er ligt echter ook een slapende, en daardoor bijzonder risicovolle, dreiging op het gebied van coprocessors op de loer.

Coprocessors zijn speciaal ontwikkeld en inmiddels onmisbaar om de performance van de huidige uitgebreide en efficiënte smartphones op peil te houden. Ze nemen specialistische en resource-intensieve taken, zoals cryptografische processen of het beheer van mobiele en Wi-Fi radio’s, weg van de hoofdprocessor. Tegelijkertijd houden ze ook de ontwikkeling van smartphones eenvoudig. Coprocessors zijn hiermee essentieel geworden binnen de evolutie van smartphones.

Kwetsbaarheden in firmware

Er zit echter ook een addertje onder het gras. Coprocessors functioneren doorgaans op basis van hun eigen firmware en die is -net als elke andere computercode- vatbaar voor cyberaanvallen. Omdat coprocessors gebruikmaken van een bevoorrechte, rechtstreekse communicatielijn naar de hoofdprocessor, kunnen cybercriminelen met een gehackte coprocessor andere beveiligingsmechanismen omzeilen. Dit is inmiddels geen theoretische dreiging meer. Project Zero, een team van beveiligingsanalisten bij Google dat de taak heeft om zero day-kwetsbaarheden te vinden, heeft ‘proof of concepts’ die laten zien hoe iOS en Android devices aangevallen kunnen worden door misbruik te maken van kwetsbaarheden in WiFi-coprocessors.

Moderne besturingssystemen maken gebruik van diverse technieken om de beveiliging te versterken, zoals de toepassing van digitale certificaten of het elimineren of beperken van speciale rechten en ‘super user’-accounts. Ook worden voor applicaties nauwkeurig sandbox-omgevingen gehanteerd. Het leeuwendeel van deze verbeteringen richt zich echter op computercode die op de hoofdprocessor draait en gaat voorbij aan firmware van de coprocessor(s).

Coprocessors worden nog vaak over het hoofd gezien

IT-beveiliging is een kat-en-muisspel. Naarmate er meer kwetsbaarheden geïdentificeerd en verholpen worden, zoeken cybercriminelen ook weer nieuwe ingangen. Coprocessors vormen een dergelijk nieuw en relatief onbeschermd kanaal en zijn daarmee een aantrekkelijk doelwit.

Het opzetten van een dergelijke aanval is niet zo moeilijk omdat coprocessors zijn ontwikkeld om te worden gebruikt door verschillende Original Equipment Manufacturers (OEM’s). Deze fabrikanten hebben toegang nodig tot de firmware en documentatie van de coprocessors om die op te kunnen nemen in het ontwerp van hun devices. Deze documentatie is weliswaar niet openbaar of open source, maar is redelijk eenvoudig te verkrijgen. Het Project Zero-team van Google begon het onderzoek met het raadplegen van productgegevensbladen op de website van een chipfabrikant. Dit soort informatie geeft cybercriminelen een voorsprong bij het identificeren van kwetsbaarheden.

Einde oefening

Als een hacker toegang heeft tot de firmware van coprocessors, is het einde oefening. Dit biedt hen toegang tot alle apps en alle data en databases waar die apps gebruik van maken. Dan hebben we het over logingegevens, GPS-data, contactgegevens, bankrekeningen en eigenlijk alles wat er maar op het mobiele apparaat te halen valt. Daarnaast kan het IP-adres van mobiele apparaten worden gebruikt voor hacking-activiteiten en kunnen deze devices zelfs worden ingezet voor spionagedoeleinden.

Cyberaanvallen volgen doorgaans een voorspelbaar, gebaand pad. Gevorderde hackers identificeren en misbruiken kwetsbaarheden en, hoewel ze hun methoden en tools zo lang mogelijk geheim proberen te houden, zullen die vroeg of laat algemeen bekend worden. Net als met alle hackerstactieken zullen aanvallen op de firmware van smartphones naar verloop van tijd worden ‘gedemocratiseerd’ zodra meer mensen inzicht krijgen in de kwetsbaarheden en aanvalsmethoden. Aanvankelijk zullen deze aanvallen op nauwgedefinieerde data gericht zijn en worden uitgevoerd door cybercriminelen met specifieke doelstellingen. Zodra de technieken op brede schaal bekend worden, zullen de aanvallen een opportunistisch karakter krijgen, die worden gedaan door hackers met wisselende vaardigheidsniveaus en motieven, gewoon omdat het kan.

Wat te doen?

Welke beschermingsmaatregelen kunnen er nu precies worden genomen? Enterprise Mobility management (EMM) is een eerste vereiste. Deze technologie stelt bedrijven in staat om een beheerinfrastructuur in te richten die in staat is om de beschikbaarheid van firmware-updates van OEM’s bij te houden. Dit maakt het mogelijk om updates automatisch te installeren en om apparaten met verouderde firmware de toegang tot bedrijfsbronnen te ontzeggen. EMM-oplossingen vormen daarmee een ideale tool voor het beheer van mobiele apparaten die door de werkgever zijn verstrekt. Ze kunnen echter ook worden ingezet in een BYOD-omgeving.

EMM vanuit de cloud biedt nog meer flexibiliteit. Dit vereenvoudigt het beheer en de beveiliging van mobiele apparaten met uiteenlopende besturingssystemen, zoals iOS, Android en Windows. Daarnaast biedt het de mogelijkheid om bedrijfsgegevens op gestolen, zoekgeraakte of gehackte apparaten op afstand te wissen.

(Zonder) Waarschuwing

Kwetsbaarheden in coprocessors vertegenwoordigen kansen voor cybercriminelen. En ze zullen deze vroeg of laat benutten. Het probleem met aanvallen via de coprocessors is dat de slachtoffers zich pas zullen realiseren wat er is gebeurd nadat de schade is aangericht. Wanneer er bijvoorbeeld bedrijfsgevoelige informatie is uitgelekt of devices op afstand zijn overgenomen.

In mei dit jaar gaat de GDPR van kracht. De gevolgen van cyberaanvallen kunnen daarmee veel verder strekken dan gênante krantenkoppen of een PR-crisis. De boetes voor het lekken van klantengegevens kunnen oplopen tot een bedrag van 20 miljoen euro of vier procent van de totale jaaromzet. Bedrijven zullen coprocessor-aanvallen dus moeten toevoegen aan het lijstje dreigingen waarop ze zich effectief moeten voorbereiden.