ม่ะจะเล่าให้ฟัง เรื่อง "การแฮ็ก wireless เมาส์และคีย์บอร์ดระยะไกลด้วยอุปกรณ์ราคา 35 บาท"
***เริ่มด้วยเรื่องที่ว่าไปเห็นคลิปในเรื่องการแกล้งคนอื่นด้วยการแอบไปเสียบ wireless คีย์บอร์ดไว้ในเครื่องคนอื่นแล้วแอบกวนโดยการ กด จากระยะไกลโดยที่เจ้าของไม่รู้ (ลองค้นดู wireless keyboard prank) เลยคิดว่าเฮ้ย จริงๆ มันน่าจะมีวิธีในการดักจับสัญญาณจากอุปกรณ์พวกนี้ได้และถอดรหัสออกมา เป็นการดักการกดคีย์บอร์ดหรือเมาส์ หรือหากล้ำไปกว่านั้น ถ้าเราสามารถรู้การเข้ารหัสของมันก็สามารถส่งข้อมูลไปยังเครื่องเป้าหมายสั่งคลิก สั่งพิมพ์คีย์บอร์ดเพื่อรันคำสั่งอันตรายจากระยะไกลได้ พอเอาเรื่องนี้ไปค้นก็พบว่ามันก็มีจริง ๆ
*** โปรเจคนี้ชื่อ mousejack [ref 1] เป็นการใช้ชิป NRF24L01+/NRF24LU1+ ดักและถอดคีย์การส่งข้อมูล ซึ่งชิปตัวนี้ส่งข้อมูล 2.4GHz ถูกใช้กันอย่างแพร่หลายในหลาย ๆ อุปกรณ์รวมไปถึงเมาส์/คีบอร์ดจาก Microsoft และ Logitech (ในบางรุ่น) และที่สำคัญราคาถูกหาซื้อได้ทั่วไปในราคา 35 บาทไทย
*** หลักการก็ง่าย ๆ เลย แค่เราเปิดโหมด Listening (จะเรียก promiscuous ก็ตามแต่)ในชิปนี้ แล้วสแกนหา channel ที่ตัวส่งกับตัวรับคุยกัน จากนั้นก็ตั้งอุปกรณ์เราให้ตรงกันก็สามารถดัก raw packet ได้แล้ว ต่อมาเราจะทำการถอดรหัส จากนั้นก็เอามาปลอมคำสั่งในการกดของเรา แล้วเปลี่ยนเป็นโหมดส่ง ยิงคำสั่งไปยังเป้าหมายแทน เป็นอันเสร็จพิธี
*** จากที่ผมทดลองทำดูโดยงัดเมาส์ Logitech MT570 ดูก็พบว่าข้างในใช้ชิป NRF24L01 นี้จริง ๆ ด้วย (ภาพ 2-3) ต่อมาก็ทดลองโหลดโค้ดจาก github (ไปหาโค้ดเอาเองนะคงไม่ยากเกินไปมี keywords แล้ว) แล้วเอา Arduino ต่อเข้ากับ NRF24L01 [ภาพ 4] เพื่อลองสแกนและดักก็พบมี packet ของเมาส์วิ่งไปมาขณะที่ขยับเมาส์ [ภาพ 5] และสามารถถอดรหัสและ "ส่งคำสั่งการคลิกซ้ายขวาสกรอได้หมดด้วย Arduino" ความแสบของโค้ดนี้คือมันมีคำสั่งคอมไพล์ ducky script ฝังไปใน โค้ด arduino firmware ด้วย ซึ่งเมื่อประมาณ 4-5 ปีก่อนมั้ง เคยเขียน ducky script ไปฝังใส่ใน BadUsb แค่คำสั่งกดคีย์บอร์ดเนี่ยสามารถเปิด Powershell โหลดโปรแกรมแกะรหัสที่บันที่ไว้ใน Chrome, IE, Firefox แล้วส่งรหัสมาทางเมล์+สั่งเปิด Remote desktop สร้าง admin user ฝังไว้ ยังทำมาแล้ว มาคราวนี้ไม่ต้องเดินไปเสียบ BadUsb แต่สามารถสั่งการจากระยะไกลได้ ...!!! (แต่ต้องให้เจ้าของคอมเผลอก่อนนะ ค่อยทำ ไม่งั้น...) และที่เจ๋งกว่านั้นก็มีคือถ้าไม่อยากซื้อ NRF24L01 เราสามารถใส่ firmware ใหม่ใส่ USB dongle ของ Logitech ให้มันเปลี่ยนเป็นตัวดักข้อมูลและส่งสัญญาณได้ (ข้างในเป็น NRF24LU1+ รุ่นนี้ต่อ usb ได้ ส่วนรุ่นอื่นต้องต่อ SPI เข้ากับ uC) พูดง่ายๆคือ จากตัวรับสัญญาณ ถ้าจะ hack ใคร เราก็เปลี่ยนให้เป็นตัวส่งซะ แฮกเสร็จก็ปรับให้เป็นตัวรับสัญญาณเมาส์เหมือนเดิม เนียนม่ะ 555++
***สุดท้ายแล้วก็ยังมีความโชคดีอยู่บ้าง ที่เราสามารถอัพ firmware Logitech ใหม่เพื่อป้องกันช่องโหว่นี้ได้ และส่วนใหญ่น่าจะใช้เมาส์คีย์บอร์ดแบบสาย หรือไม่ก็ใช้ oker, nubwo จากจีนกัน ซึ่งอย่าว่าแต่แกะโปรโตคอลสื่อสารเลย ขนาดชิปมันใช้เบอร์อะไรยังไม่รู้ 55++ ...แต่อนาคตก็ไม่แน่จริงม่ะ ... ถ้าเห็นว่ามีประโยชน์ก็แชร์กันได้นะครับ ^^ บทความนี้ส่งท้ายปีใหม่ละกันเพราะจะกลับบ้านแล้ว
สวัสดีปีใหม่ ขอให้คุณพระศรีคุ้มครองพระรัตนตรัย กลับบ้านเดินทางโดยถนนมิตรภาพครับ
[ref 1] slide จากงาน defcon https://media.defcon.org/…/DEFCON-24-Marc-Newlin-MouseJack-…
[ref 2] อุปกรณ์ที่โดนผลกระทบ https://www.bastille.net/…/vulne…/mousejack/affected-devices
[ref 3] โปรแกรมอัพ firmware จาก logitech https://support.logitech.com/en_us/software/unifying
spi arduino 在 [問題] Arduino SPI 使用語法的問題- 看板ASM 的八卦
各位大大午安,
自從前天開始接觸Arduino這個東西後,
便開始被他多樣的功能給吸引住,
而網路上豐富且循序漸進的資料讓從沒學過C語言的我也能很順利的上手。
順便推薦一下這兩天我所看覺得非常棒的網站:
1. https://www.youtube.com/watch?v=E3W8Fxc7tHo
這個網站是由Arduino的發展人之一所拍的教學影片,共有10個主題,
從最基本開始讓你慢慢了解這玩意是什麼!
在看到第四個lesson後也有了靈感寫了我的第一支程式,
https://0rz.tw/fdhGW (讓Ardino唱卡農,連結到我的FB影片)
2. https://0rz.tw/2akCj
這個網站裡的Arduino Tutorials 目前共有57個chapters,而且持續更新中,
藉由做專題的形式來學習Arduino。
打了落落長的廢話我想問的問題是:
a. 我在看了Arduino官網裡關於使用SPI寫EEPROM的文章後一直卡在一個地方,
網路上找了很多資料後還是無法了解....
(https://arduino.cc/en/Tutorial/SPIEEPROM,文章連結)
文章裡其中一段程式碼 :
// SPCR = 01010000
//interrupt disabled,spi enabled,msb 1st,master,clk low when idle,
//sample on leading edge of clk,system clock/4 rate (fastest)
SPCR = (1<<SPE)|(1<<MSTR);
clr=SPSR;
clr=SPDR;
delay(10);
我的理解為我想要在SPI Control Register 裡寫入01010000這個指令,
我不懂的是這串指令要怎麼從(1<<SPE)|(1<<MSTR)產生?
我看程式的一開始沒有宣告SPE與MSTR為何種變數,
為什麼它可以這樣直接使用?
為什麼不能直接寫 : SPCR=01010000就好?
b. 在一個使用SPI控制DAC的範例裡 :
https://0rz.tw/Y9QGW
因為此DAC為12 bit input且需4 bit來做參數設定,
由於SPI只能做byte的傳輸,因此範例裡使用的是 highbyte()與lowbyte()兩指令,
將一個16 bit的變數分成兩部分寫入DAC,
其中包含參數設定的那部分使用了bitmask來使得該4 bit永遠為固定值。
部分程式碼為 :
word outputValue = 0; // a word is a 16-bit number
byte data = 0; // and a byte is an 8-bit number
void loop()
{
for (int a=0; a<=4095; a++)
{
outputValue = a;
digitalWrite(10, LOW);
data = highByte(outputValue);
data = 0b00001111 & data;
data = 0b00110000 | data;
SPI.transfer(data);
data = lowByte(outputValue);
SPI.transfer(data);
digitalWrite(10, HIGH);
delay(del);
}
這裡我不懂的地方是在bitmask裡0b00001111 or 0b00110000 為什麼會多出0b?
不能直接寫00001111 or 00110000嗎?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.109.112.200
不過在SPE/MSTR這裡我還是不懂....
你的意思是一開始include的library裡就有預先定義好的嗎?
我剛看了一下程式碼一開始只有include SPI.h,
點進去看也沒看到 SPE, MSTR 或 SPSR, SPDR相關的定義....
※ 編輯: escorpion 來自: 140.109.112.200 (11/21 15:30)
在進去那個資料夾點了幾個標頭檔還是沒發現那幾個字的定義後我放棄了.....冏
不過一結果來看我應該可以假設他們分別是6與4這兩個值,
並且被已經被定義在某處了吧?
再來是如果我想要寫01010000進SPSR,
可以直接寫成 : SPSR=B01010000就好嗎?
※ 編輯: escorpion 來自: 140.109.112.200 (11/21 22:37)
※ 編輯: escorpion 來自: 140.109.112.200 (11/22 12:49)
... <看更多>