Satelliten-Internet: Im Starlink-Netz umschauen dank Modchip

Ein Hacker ist einem Starlink-User-Terminal zu Leibe gerückt. Resultat ist ein Modchip, mit dem sich beliebige Firmware auf allen Terminals aufspielen lässt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 118 Beiträge
Aufmacher Starlink-Terminal gehackt mit Modchip

(Bild: Andrey Armyagov/Shutterstock.com)

Von
  • Uli Ries

Zum Auftakt der Sicherheitskonferenz Black Hat 2022 in Las Vegas hat Lennert Wouters, Security Researcher an der belgischen KU Leuven, demonstriert, wie er die vergleichsweise guten Schutzmechanismen eines Starlink-Terminals aushebelt. Der von Wouters entwickelte Modchip schaltet die diversen Sicherheitsfunktionen aus, die das Booten einer modifizierten Firmware unterbinden sollen und führt letztlich zum Log-in als root auf dem Terminal.

Der von Lennert Wouters entwickelte Modchip basiert auf einem Raspberry-Pi-Mikrocontroller (RP2040).

(Bild: Lennert Wouter)

Das Design und der Code für den Modchip will der Forscher alsbald auf Github veröffentlichen (zum Zeitpunkt des Verfassens dieses Textes waren die Inhalte jedoch noch nicht online). Die Gesamtkosten für die Hardwarekomponenten belaufen sich laut Wouters auf weniger als 30 Euro.

Mittels einer inoffiziellen Firmware können Hacker erstmals das Backend des Satellitensystems ausforschen oder mit den Satelliten selbst kommunizieren. Lennert Wouters hat das Starlink-Netzwerk nicht weiter analysiert, da ihm zufolge ein auf dem Board aufgelötetes Secure Element sämtliche Kommunikation zwischen Terminal und Backend verschlüsselt.

Starlink, das zu Elon Musks Weltraumunternehmen SpaceX gehört, hat dem Forscher zufolge die ausgenutzte Schwachstelle bestätigt. Um sie zu beheben, wäre ein neu entwickeltes System-on-a-Chip (SoC) nötig. Demzufolge haben alle bislang verkauften Starlink-Schüsseln den von Wouters ausgenutzten Bug und lassen dadurch sich hacken.

Gut ein Jahr habe Wouters für sein Forschungsprojekt benötigt. Grund für den hohen Aufwand: Ihm zufolge hat das Starlink-Terminal keine offensichtlichen Sicherheitslücken, die Secure-Boot-Kette reiche vom anfänglichen ROM-Bootloader bis zum Start des Linux-Betriebssystems. Per SHA256 und RSA2048 stellt der Bootmechanismus Unversehrtheit und Echtheit der Firmware sicher. Dazu komme, dass keinerlei Informationen über die verwendete Vierkern-CPU (basierend auf ARM Cortex-A53) verfügbar waren.

Mittels aufwendiger Analyse des User Terminals fand der Hacker einen Weg, die Zertifikatsprüfung der Firmware auszuhebeln.

(Bild: Lennert Wouters)

Die Erkenntnis zum Knacken kam dem Hacker schließlich nach intensiver Analyse des Bootvorgangs per Logikanalysator. Ein exakt nach Abschluss der ersten Bootphase verursachter Kurzschluss (Voltage Fault Injection) sorgt dafür, dass der in die Hardware eingebrannte ROM-Bootloader das Zertifikat des anschließend zu ladenden Second Stage Bootloaders nicht überprüft.

Der Modchip erledigt neben der Side-Channel-Attacke (Kurzschluss) auch das hierzu notwendige Abschalten der Glättungskondensatoren. Die aktuelle Version des Modchip-Designs ist bereits auf eine Änderung abgestimmt, die eine von Starlink während der Entwicklung des Hacks veröffentlichte Firmware mitbrachte.

(dmk)