Belgische onderzoekers verkrijgen toegang tot firmware Starlink-schotelantenne

Belgische onderzoekers van de KU Leuven hebben toegang verkregen tot de firmware van de Starlink schotelantenne door de ingebouwde eMMC-geheugenmodule uit te lezen. Ze kwamen erachter dat de antenne over een quadcore-soc beschikt en 4GB flashgeheugen.

De onderzoekers hadden naar eigen zeggen al eerdere teardowns van de schotelantenne gezien, die ook wel de phased-array user terminal wordt genoemd. Ze wilden echter meer weten over de soc en de gebruikte firmware. Met behulp van een usb-naar-seriële converter konden ze de uart-interface uitlezen en nagaan hoe het bootproces verloopt.

Daarin zagen ze dat er gebruik werd gemaakt van een aangepaste U-Boot-bootloader en dat het woord falcon het opstartproces zou moeten kunnen onderbreken. Dat laatste werkte bij de onderzoekers niet. De bootloader laadt volgens hen een kernel, ramdisk en een Flattend Device Tree in vanaf het ingebakken eMMC-geheugen. Aan de hand van uitgevoerde tests concluderen de onderzoekers dat er een full trusted boot chain is geïmplementeerd vanaf de rom-bootloader tot aan het Linux-besturingssysteem.

Tijdens de teardown viel het oog op de soc, het 4GB-flashgeheugen in de vorm van een eMMC-geheugenmodule en de tien testpunten op het moederbord die in verbinding staan met diezelfde geheugenmodule. De onderzoekers besloten om via deze testpunten een in-circuit geheugendump uit te voeren van de eMMC-module en de firmware te onderzoeken.

Ze kwamen er vervolgens achter dat de Starlink-schotelantenne een Cortex-A53-soc bevat met vier kernen waarvan elke kern een specifieke taak toegewezen krijgt. Voor gewone gebruikers zal bovendien het niet mogelijk zijn om in te loggen in de firmware. Tijdens de opstartprocedure gaat de schotelantenne immers na of de hardware voor ontwikkelaars is bestemd of niet. Als dat het geval is, wordt er een wachtwoord gegenereerd voor de gebruiker die dan kan inloggen.

De onderzoekers hebben naar eigen zeggen ook root shell-toegang tot de firmware kunnen verkrijgen. Meer informatie volgt op een later moment.

soc Starlink user terminal

Update, 19u15: enkele verduidelijkingen aangebracht in titel en artikel.

IT-banen

Reacties (67)

Ramon 8 juli 2021 18:54

Ja een beetje meer context zou handig zijn. Vraag me af of de auteur het zelf wel snapt.

Coolstart @Ramon • 8 juli 2021 19:55

Klopt, vrij complex geschreven. De titel is al aangepast zie ik

Ik probeer het wat meer in mensentaal te brengen:

Meer context:
De onderzoekers zijn de schotelantenne die verbinding maakt met Startlink satellieten aan het hacken. Dat kunnen ze door de debug poorten (die bedoelt zijn voor de ontwikkelaars) van de chip op te zoeken (via UART, een seriële verbinding naar de micro controller + firmware. Soms zijn die goed verstopt maar in dit geval zijn ze vrij makkelijk toegankelijk na wat zoekwerk. Ze sluiten dan een oscilloscoop aan op willekeurige pinnetjes in de hoop een UART bit signaal te onderscheppen. Je ziet dan vele 101010010 en mits wat telwerk kan je de baudrate of verbindingsfrequentie van de connectie bepalen.

Doel
Het doel van de onderzoekers is te begrijpen hoe de chips en antennes verbinding maken met de satellieten. Dit is geen wifi6, 5G of bluetooth maar iets heel anders. SpaceX heeft trouwens ook een bounty program opgezet waarbij onderzoekers kwetsbaarheden kunnen melden.

Firmware stuurt de chip + digitale antenne (phased array)
Via de UART kan dan meelezen welke processen (logs) de chip uitvoert of vastloopt (op firmware niveau). Dit is handig om de debuggen (bij de ontwikkeling) maar ook handig om de werking van de antenne te onderzoeken op microcontroller niveau. Je kan zo zien welke poorten van de chip in gebruik zijn en welke data er gebruikt wordt, connecties die de chip heeft met bijv andere sensoren, bluetooth, modem, gps, welke cores welke input behandelen etc maar ook de Phased array of ook wel digitale radio antenne’s genoemd. Net zoals je met wifi kan beamformen gaat deze antenne gericht zoeken naar radiosignalen van de satelieten. Al deze code zit in de firmware ingebakken en loop niet via het OS.

Allemaal op firmware niveau, dus Read only, low level en meestal flashgeheugen. eMMC in dit geval.

amin-rechten zijn geofenced
In deze Firmware zit volgens de onderzoekers een beveiliging dat de chip niet boot als men met root acces (admin rechten) aanpassingen wil doorvoeren op een gps-locatie die niet door SpaceX is goedgekeurd. Ook zou er een login aanwezig zijn.

Via een bootloader (software) kan je de Firmware aanpassen. Eerst dump je de Firmware, dan editeer je de code (bijv de locatiebeperking weghalen) en dan kan je via een bootloader het flashgeheugen overschrijven.

Dit lijkt eenvoudig maar vaak heeft de fabrikant wat beveiligingen ingebouwd en moet je wel wat experimenteren om de firmware te dumpen. (Uitlezen en opslaan) of root acces (admin-rechten) te krijgen.

Root acces
Blijkbaar hebben de onderzoekers goed gexperimenteerd en root shell acces verkregen. Ze hebben dus toegang tot de microchip firmware als admin. Ze zeggen niet hoe ze het gedaan hebben. Simpel was het zeker niet want SpaceX heeft de UART connectie beveiligd met een login.

Indien ze effectief root acces hebben wil dat zeggen dat ze met de firmware doen wat ze willen. Er zijn geen beperkingen meer. Bovenop de firmware wordt het OS geïnstalleerd. Meestal is dat Linux. Het OS draait dan bijv een webserver kan je net zoals dat kan met uw router (vaak 192.168.1.0) verbinding maken met de user interface via de browser of een app die via bluetooth, direct wifi of de cloud data verstuurd.

More
Als je meer wil weten, deze site legt het basisprincipe haarfijn uit: https://www.riverloopsecurity.com/blog/2020/01/hw-101-uart/

[Reactie gewijzigd door Coolstart op 23 juli 2024 06:08]

JackBol @Coolstart • 8 juli 2021 23:31

Root acces
Blijkbaar hebben de onderzoekers goed gexperimenteerd en root shell acces verkregen. Ze hebben dus toegang tot de microchip firmware als admin. Ze zeggen niet hoe ze het gedaan hebben. Simpel was het zeker niet want SpaceX heeft de UART connectie beveiligd met een login.

In het artikel staat dat de de hele rom hebben gedumpt.
Als dat zo is, weet je precies op welke block de /etc/passwd en /etc/shadow staan in die memory bank. Als je het een beetje goed aanpakt kan je zelf die blocken overschrijven en bijv. het root wachtwoord veranderen naar iets bekends.

Mushroomician @Coolstart • 8 juli 2021 21:38

De onderzoekers zijn dus gewoon hardcore tweakers zoals de gemiddelde bezoeker van deze website, maar dan van 20 jaar geleden!

jaquesparblue @Mushroomician • 8 juli 2021 23:15

Niet eens. Dit is meer Moenen.

Henk Poley @jaquesparblue • 9 juli 2021 00:51

Ah, tussen 2001 (1985 was domein registratie) en 2006(-'07) was MoeneN.org dat een Nederlandse technische discussie site zo ergens tussen Tweakers en Security.nl in.

[Reactie gewijzigd door Henk Poley op 23 juli 2024 06:08]

Meulugar @Henk Poley • 12 juli 2021 11:05

Moenen was het "hackersforum" van die tijd.beetje de digitale Hacktic met een gezellig IRC chat. Eigenlijk wel benieuwd naar wat men nu doet. #Pr3torian

segil @Ramon • 8 juli 2021 19:02

inderdaad, ik weet niet eens wat een Starlink user terminal is.

beerse @segil • 9 juli 2021 09:36

De user-terminal is in de netwerk/telecom wereld het apparaat dat de klant (user) thuis heeft staan, wat de klant met het netwerk verbind. De meeste gebruikers noemen dat het 'modem' of 'kastje van de provider'.

En Starlink is een internationale, satelliet gebaseerde, internet provider.

Blokker_1999

Internettoegang
SpaceX

8 juli 2021 19:34

Voor gewone gebruikers zal bovendien het niet mogelijk zijn om in te loggen in de firmware. Tijdens de opstartprocedure gaat de schotelantenne immers na of de hardware voor ontwikkelaars is bestemd of niet. Als dat het geval is, wordt er een paswoord gegenereerd voor de gebruiker die dan kan inloggen.

De onderzoekers hebben naar eigen zeggen ook root shell-toegang tot de firmware kunnen verkrijgen. Meer informatie volgt op een later moment.

Lijkt me een beetje tegenstrijdig te zijn. Als de onderzoekers er in slagen zijn er dus wel degelijk mogelijkheden zou ik denken, zelfs als er enkele hardwaremods nodig zijn. Maar de belangrijkste vraag zou dan zijn: ben je er iets mee?

Je kan er natuurlijk proberen van doom op te draaien, maar wat moet je uiteindelijk met root toegang op een schotelantenne?

The Zep Man

Internettoegang

@Blokker_1999 • 8 juli 2021 19:37

Lijkt me een beetje tegenstrijdig te zijn. Als de onderzoekers er in slagen zijn er dus wel degelijk mogelijkheden zou ik denken, zelfs als er enkele hardwaremods nodig zijn.

Onderzoekers zijn geen gewone gebruikers.

Je kan er natuurlijk proberen van doom op te draaien, maar wat moet je uiteindelijk met root toegang op een schotelantenne?

Daar zijn voldoende zaken voor te bedenken, zelfs als jij of ik ze niet kunnen bedenken.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:08]

Verwijderd @Blokker_1999 • 8 juli 2021 21:22

Het lijkt me meer voor de sport, maar vanuit security perspectief zijn er wel wat zaken die je wilt uitproberen:

Kijken of je met root toegang andere schotelantenne devices kan bereiken over de internet link en die kan aanvallen of configureren.
De firmware update server overnemen en zo het hele netwerk infecteren.
De apparatuur dat het netwerksysteem op de satellieten aanstuurt benaderen, maar dan moet er echt enorm veel fout zijn gegaan bij de configuratie en opstelling.

segil 8 juli 2021 19:04

@JayStout Wat in odins naam is een "phased-array user terminal"? Zou wel handig zijn om je artikel te beginnen met de uitleg waar dit betrekking op heeft.

GekkePrutser @segil • 8 juli 2021 22:53

Voor de term "phased array" is geen Nederlandse vertaling. Maar het is een techniek waar met een heleboel kleine antennes die in verschillende fases samenwerken een virtueel beweegbare richtantenne gemaakt kan worden. Die alleen electronisch beweegt (niet fysiek) en dus geen last heeft van traagheid.

Dit is een techniek die al vele decennia wordt ingezet zoals in radars. Maar in een consumentenapparaat is het wel redelijk uniek. In 5G mmWave antennes zit het ook maar dan maar met 3 elementjes in 1 dimensie dus dat is nauwelijks effectief. Hoe meer elementen (en in hoe meer dimensies, in dit geval twee), hoe beter het richtingseffect.

De starlink schotel heeft trouwens ook fysieke motoren maar die zijn alleen voor het initieel uitrichten, niet voor het volgen van de sattelieten.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 06:08]

Auteur

JayStout @segil • 8 juli 2021 19:15

Aangepast, excuses voor de onduidelijkheid.
Jay

segil @JayStout • 8 juli 2021 19:29

dank, een stuk duidelijker nu

Horla 8 juli 2021 18:46

Voor wie het net als ik moest opzoeken: ze spreken hier over de Dishy McFlatface

G1LL3S 8 juli 2021 19:50

Wat is de toegevoegde waarde om dit weten? Wat kan je met deze informatie? Ik kan serieus niets (legaals) bedenken qua toepassingen.

Chielemans @G1LL3S • 8 juli 2021 19:54

Gewoon weten is ook een doel op zich

timberleek @G1LL3S • 8 juli 2021 23:09

Het kan diverse redenen hebben.

Allereest is het een interessant (en soms best complex) vraagstuk om zonder verdere info en hulp een ding te kraken. Kun je een hoop dingen van leren bijvoorbeeld als je zelf de beveiliging in wil (of al in zit). Sowieso werkt het heel goed om eens andersom te denken in zo'n vakgebied. Dus niet "hoe kan ik dit beveiligen", maar "hoe kan ik dit kapot maken"

Daarnaast is er een bug bounty programma, dus het kan ook simpelweg voor de roem en poen te doen zijn.

En sowieso is nieuwsgierigheid een belangrijk punt om mee te beginnen.

vverbeke @G1LL3S • 9 juli 2021 08:09

Omdat het leuk is om te lezen, om te weten dat het mogelijk is? Liever dit soort artikelen dan het zoveelste "merk x heeft alweer een nieuwe smartphone uit". Lijkt mij net veel meer Tweakers: Een apparaat openprutsen en uitzoeken hoe het werkt en wat het doet.

OxWax @G1LL3S • 9 juli 2021 09:12

Knowledge is power. Moest ik allemaal kunnen wat ik lees, ik had 3 mensenlevens nodig. Sommige dingen zijn gewoon interessant : Quantum fysica, hoe een mRNA vaccin werkt, black holes, aliens en dit ...

12345j 8 juli 2021 19:18

Onderzoekers? Naar wat? Waarom zijn ze hier mee bezig? Wie of wat is de aanleiding tot dit 'onderzoek'. Klinkt net zo nieuwswaardig dan als ik mijn wasmachine ga open schroeven

pumpidumpi 8 juli 2021 19:36

Gezellig hier!

The Zep Man

Internettoegang

8 juli 2021 19:36

Ze kwamen er vervolgens achter dat de Starlink schotelantenne een Cortex-A53-soc bevat met vier kernen waarvan elke kern een specifieke taak toegewezen krijgt.

Qua prestaties zal het vergelijkbaar zijn met een Raspberry Pi 3 (ook 4xA53). Veel meer is ook niet nodig voor relatief simpele taken.

dasiro 8 juli 2021 20:35

Met behulp van een usb-naar-seriële converter konden ze de uart-interface uitlezen en nagaan hoe het bootproces verloopt.

rocket science dus voor iedereen die nog nooit een switch of ander device heeft moeten configureren of nog maar 15 is

OxWax @dasiro • 9 juli 2021 09:10

Nou ...

https://www.hln.be/binnen...er-ik-wil-weten~a220e278/

SvenLohuis 9 juli 2021 17:21

In NL en buitenland zijn er al bizar-veel-problemen met 'twee-gezicht' Belgen, die westerse truckjes&luxe gebruiken om digitale vanadalisme, sabotage, diefstal, chantage en stalken toe te passen. Erg veel 'toepassingen/electronica' die een (programmeerbare)'micro'-chip bevatten(inclusief 'bootloader' of bios); onherstelbaar 'vervangen/gesaboteerd' zijn. Dit met de intentie de gebruiker(s)/bezitter(s) hun dagelijks werk en privé te 'oogsten' middels de toegevoegde 'wormen'. Ook invloed uitoefenen 'op' (van alles en nog wat) middels 'onzichtbaar' afluisteren, word hiermee op grote schaal mogelijk gemaakt.

Dit artikel leest als weer-een-voorbeeld(van velen); waarbij eigendom van !jouw! internet-provider (laatste stukje van jouw-veiligheid tot aan jouw deur, voor wat ze nog kunnen bieden '2021') onzichtbaar-onherstelbaar-kapot gemaakt moet worden, met de intentie; niet verwijderbare/vindbare 'wormen' achter te laten.

In NL en buitenland zijn de volgende items erg populair onder Belgen(en hun gerecruite, slecht-engels-sprekende handlangers):

*Telefoons (Android!)
*Access-points (cafe/terras/vereniging/in huis)
*Smart TV's
*Tablets
*Laptops
*Modems/accespoints/routers
*IP Camera's
*accu houdend electronica(randapparatuur inc)

Zorg voor een goed slot op je woning. Bewaar reserve sleutels in een kluisje(cijfer slot) in je woning. Bewaar, als je in een niet-afsluitbare-ruimte(bijvoorbeeld gedeelde slaapruimte) slaapt, je spullen (telefoon, paspoort, portemonnee) in een 'versleutelbare' verpakking(tasje oid) verbergt. Ook je USB-stick met reserve-wachtwoorden kan daar veiliger bewaard worden. Een kopie van je telefoon/tablet is een kopie van je 'wachtwoorden' en jouw privé(communicatie-geschiedenis). Stapje verder is wormpjes in je boot-loader of bios.

Het is een garantie, dat als er 'Starlink' rommel/wormen word ontwikkeld(wat het doel is, van deze vorm van reverse-engineering); die Belgen op je dak, de firmware van je schotel aan gaan passen om je zo voor je werk/studie 'tijd'(en je mede internet gebruikers) te bedonderen/oogsten. Excuus; "Belgische-belasting(EU)".

Huidige incidenten met misbruikte electronica, zijn over het algemeen niet-tot-slecht te verzekeren. Zoek maar een specialist die kan bevestigen of de firmware in je randapparatuur nog wel origineel is, of de ME-bios-region niet bedonderd is. Gelijk een voorbeeld van waarom je jouw electronica-garantie !verliest! zodra deze variant van 'software-wijzigen' toegepast zijn op 'jouw' electronica(ook bij toedoen van een ander).

Het doel van het bovenstaande-artikel is immers niet 'Starlink' beterder te maken. Enkel met woorden, 'goedpraten' van 'reverse-engineering' om onverzekerbare inbraak-schade aan te richten, 'interessant' te laten klinken(in het Nederlands).

Het zijn van een Tweaker is niet; het-zijn-van 'arrogant', tegen iedereen die het bovenstaande 'niet begrijpt'(maar wel gebruikt). Mogelijk kun je een IP-camera op je 'Starlink-schotel' richten, om het verzekerbaar te houden. Niet alleen voor jezelf of je kinderen. Ook je werkgever(waarvan jij 'thuis' mag werken) kan hier baat bij hebben.

[Reactie gewijzigd door SvenLohuis op 23 juli 2024 06:08]