Zur Einführung von Amazons Dash Button in Deutschland hatten wir bereits zu Aspekten des Daten- und Verbraucherschutzes des Produkts berichtet. Mit der Sicherheit und der “Hackability” des kleinen Geräts hat sich der Hardware-Hacker hunz beschäftigt und in seinem Vortrag “Shining some light on the Amazon Dash Button” im Rahmen des 33. Chaos Communication Congress seine Ergebnisse präsentiert. Er betrachtete vor allem die zweite Revision des Dash-Buttons, die seit August 2016 in Deutschland verfügbar ist.
Schwer zugänglich, hochoptimiert
Da das Kunststoffgehäuse zugeschweißt ist, musste der Dash-Button zunächst vorsichtig aufgesägt werden, um an das Innenleben des Geräts heranzukommen. Im Vortrag wurden dann die einzelnen beteiligten Hardware-Komponenten vorgestellt, vom eingebauten Microcontroller, über den WLAN-Chip bis zum Spannungsregler. Hunz hatte herausgefunden, dass der Dash-Button nur durch einen Knopfdruck eingeschaltet werden kann und nicht bspw. über WLAN, Bluetooth oder andere Quellen “aufgeweckt” werden kann. Dies liegt daran, dass der Dash-Button möglichst sparsam betrieben werden muss, da der Dash-Button mit der eingebauten Batterie Energie für maximal 75 WLAN-Minuten hat.
Testzugang auf der Platine
Auf der Platine des Dash-Buttons finden sich Lötstellen für eine serielle Schnittstelle, über die z.B. von einem PC aus Kommandos an den Dash-Button geschickt werden können. Im Gegensatz zur ersten Hardwareversion, die nur in den USA verkauft wurde, sind die interessanten Debugging-Funktionen, die z.B. das Auslesen oder schreiben der Firmware erlauben würden, deaktiviert.
Umgehung der Verschlüsselung
Der Dash-Button kommuniziert bei Knopfdruck seine Bestellung an Amazon verschlüsselt. Die Verschlüsselung lässt sich jedoch nicht mit einem herkömmlichen Man-in-the-Middle-Angriff über das Netzwerk umgehen. Hunz fand aber einen anderen Weg: er horchte die Verbindung zwischen dem Prozessor des Dash-Buttons und dem WLAN-Chip ab, da der WLAN-Chip die Verschlüsselungsfunktionen übernimmt. So konnte Hunz Einsichten über den den Registrierungs- und Bestellvorgang gewinnen.
Geringes Sicherheitsrisiko
Prinzipiell ist der Dash-Button für eine Evil-Twin-Attacke Attacke anfällig, bei der sich der Dash-Button mit einem gefälschten Access-Point verbindet. Dadurch könnte ein Angreifer die WLAN-Zugangsdaten des Originalrouters und über eine Man-in-the-Middle Attacke den Dash-Token, der für den Bestellvorgang benötigt wird, ermitteln. Allerdings ist das Risiko dafür vernachlässigbar, wegen oben genannter Verschlüsselung und des sehr kurzen Zeitraums, in dem die Dash-Kommunikation stattfindet. Desweiteren hat Amazon einen Schutz gegen Replay-Attacken implementiert, sodass Bestellvorgänge nicht einfach kopiert und wiederholt an Amazon gesendet werden können.
Hackability
Die Möglichkeiten Dash-Buttons ohne Amazons Service zu nutzen oder umgekehrt den Service mit anderen, inoffiziellen Geräten zu nutzen, hat Hunz ebenfalls analysiert. Dazu war das Auslesen und Analysieren der Firmwäre des Geräts nötig. Wegen der deaktivierten Debugging-Funktionen musste daher der Speicherchip des Dash-Buttons abgelötet und mit einem speziellen Lesegerät ausgelesen werden. In der Firmware fand er eine Sicherheitslücke, die es erlaubt, fremden Code über die Audio-Schnittstelle des Geräts, die zur Einrichtung des Buttons mit dem Smartphone benötigt wird, einzuspielen. Hunz stellte einen kurzen Codeschnipsel vor, mit dem er auch den Bootloader des Dash-Buttons auslesen konnte – das ist die Software, die beim Aktivieren des Buttons die eigentliche Firmware aus dem Speicherchip liest. Mit den ausgelesenen Informationen ließe sich ein selbstgebauter Dash-Button realisieren. Am Ende des Vortrags rief der Hardware-Hacker dazu auf, weitere Möglichkeiten, etwa das Überschreiben der Firmware, zu testen, und stellt dafür seine bisherigen Ergebnisse im Internet zur Verfügung.
Der Vortrag ist auf https://media.ccc.de/c/33c3 archiviert. Die Vortragsfolien und weitere Informationen finden sich auf der Seite zum Vortrag.