TEACHINGYOURWIRELESSCARDNEWTRICKS: SMARTPHONEPERFORMANCEANDSECURITYENHANCEMENTS THROUGHWI-FIFIRMWAREMODIFICATIONS Am Fachbereich Informatik der Technische Universität Darmstadt zur Erlangung des akademischen Grades eines Doktor-Ingenieurs (Dr.-Ing.) genehmigte Dissertationsschrift von matthias thomas schulz, m. sc. Geboren am 15. November 1987 in Wiesbaden-Dotzheim, Deutschland Erstgutachter: Prof. Dr.-Ing. Matthias Hollick Zweitgutachter: Prof. Guevara Noubir (Ph.D.) Tag der Einreichung: 12. Januar 2018 Tag der Disputation: 26. Februar 2018 Darmstadt, 2018 Hochschulkennziffer D17 Verfasser: Schulz, Matthias Thomas Titel: Teaching Your Wireless Card New Tricks: Smartphone Performance and Security En- hancements Through Wi-Fi Firmware Modifications Dissertationsort: Darmstadt, Technische Universität Darmstadt Jahr der Veröffentlichung der Dissertation auf TUprints: 2018 URN: urn:nbn:de:tuda-tuprints-72438 URL: https://tuprints.ulb.tu-darmstadt.de/id/eprint/7243 Tag der mündlichen Prüfung: 26. Februar 2018 Veröffentlicht unter CC BY-NC-ND 4.0 International (Namensnennung – Keine kommerzielle Nutzung – Keine Bearbeitung) https://creativecommons.org/licenses/by-nc-nd/4.0/deed.de Licensed under CC BY-NC-ND 4.0 International (Attribution – NonCommercial – NoDerivatives) https://creativecommons.org/licenses/by-nc-nd/4.0/deed.en ABSTRACT Smartphones come with a variety of sensors and communication interfaces, which make them perfect candidates for mobile communication testbeds. Nevertheless, proprietary firmwares hinder us from accessing the full capabilities of the underlying hardware plat- form which impedes innovation. Focusing on FullMAC Wi-Fi chips, we present Nexmon, a C-based firmware modification framework. It gives access to raw Wi-Fi frames and advanced capabilities that we found by reverse engineering chips and their firmware. As firmware modifications pose security risks, we discuss how to secure firmware han- dling without impeding experimentation on Wi-Fi chips. To present and evaluate our findings in the field, we developed the following applications. We start by presenting a ping-offloading application that handles ping requests in the firmware instead of theop- erating system. It significantly reduces energy consumption and processing delays. Then, we present a software-defined wireless networking application that enhances scalable video streaming by setting flow-based requirements on physical-layer parameters. As se- curity application, we present a reactive Wi-Fi jammer that analyzes incoming frames during reception and transmits arbitrary jamming waveforms by operating Wi-Fi chips as software-defined radios (SDRs). We further introduce an acknowledging jammerto ensure the flow of non-targeted frames and an adaptive power-control jammer toadjust transmission powers based on measured jamming successes. Additionally, we discovered how to extract channel state information (CSI) on a per-frame basis. Using both SDR and CSI-extraction capabilities, we present a physical-layer covert channel. It hides covert symbols in phase changes of selected OFDM subcarriers. Those manipulations can be ex- tracted from CSI measurements at a receiver. To ease the analysis of firmware binaries, we created a debugging application that supports single stepping and runs as firmware patch on the Wi-Fi chip. We published the source code of our framework and our appli- cations to ensure reproducibility of our results and to enable other researchers to extend our work. Our framework and the applications emphasize the need for freely modifiable firmware and detailed hardware documentation to create novel and exciting applications on commercial off-the-shelf devices. iii ZUSAMMENFASSUNG Smartphones sind mit einer Vielzahl an Sensoren und Kommunikationsschnittstellen aus- gestattet, wodurch sie optimal für den Einsatz in mobilen Testumgebungen im Kom- munikationsbereich geeignet sind. Allerdings hindert uns proprietäre Firmware die vol- len Fähigkeiten der zugrunde liegenden Hardwareplattform auszureizen, was Innova- tionen behindert. Speziell für FullMAC-WLAN-Chips präsentieren wir Nexmon – ein C-basiertes Firmware-Modifikations-Framework. Es ermöglicht den direkten Zugriff auf WLAN-Pakete und spezielle Hardwarefähigkeiten, die wir durch die Analyse von Chips und ihrer Firmware herausfanden. Da Änderungen an der Firmware Sicherheitsfragen aufwerfen, diskutieren wir die Absicherung der Firmwarehandhabung, ohne dabei das Experimentieren mit WLAN-Chips zu beeinträchtigen. Zum Präsentieren und prakti- schen Evaluieren unserer Forschungsergebnisse, entwickelten wir die folgenden Anwen- dungen. Die erste behandelt Ping-Anfragen in der Firmware statt sie im Betriebssystem zu beantwortet. Sie reduziert den Energieverbrauch und die Verarbeitungszeit signifikant. Danach präsentieren wir eine Anwendung, die Techniken aus dem Bereich softwarede- finierte drahtlose Netzwerke einsetzt, um skalierbares Videostreaming zu verbessern, in- dem Datenströme mit Anforderungen an Parameter der Bitübertragungsschicht versehen werden. Als Sicherheitsanwendung präsentieren wir einen reaktiven WLAN-Störsender, der eingehende Pakete während des Empfangs analysiert und beliebig geformte Stör- signale aussendet. Dazu verwenden wir den WLAN-Chip als Software Defined Radio (SDR) mit freiem Zugriff auf Basisbandsignale. Des weiteren stellen wir einen Störsender vor, der Empfangsbestätigungen an den Sender der gestörten Pakete schickt, damit der Durchsatz von ungestörten Paketübertragungen nicht einbricht. Eine zusätzliche Erwei- terung passt adaptiv die Sendeleistung an, je nachdem wie erfolgreich ein Empfänger gestört wurde. Darüber hinaus können wir für jedes empfangene Paket extrahieren, zu welchen Amplituden- und Phasenverschiebungen die drahtlose Übertragung eines Pakets geführt hat. Durch Nutzung dieser Informationen und der Fähigkeit zum Ändern von Basisbandsignalen haben wir einen verdeckten Kanal auf der Bitübertragungsschicht ent- wickelt. Er versteckt Daten in Phasenänderungen von ausgewählten OFDM-Unterträgern. Diese Manipulationen können am Empfänger extrahiert werden. Zudem entwickelten wir einen Debugger, um die Analyse von Firmwaredateien zu vereinfachen. Er läuft als Soft- ware auf dem WLAN-Chip und kann Firmwarecode in Einzelschritten ausführen. Um die Reproduzierbarkeit unserer Ergebnisse sicherzustellen und es anderen zu ermögli- chen unsere Arbeit zu erweitern, stellen wir den Quellcode von Framework und Anwen- dungen zur Verfügung. Basierend auf unseren Ergebnissen sehen wir den Bedarf nach frei konfigurierbarer Firmware und detaillierter Dokumentation der Hardware, um zukünftig einfacher neue Anwendungen für WLAN-Chips handelsüblicher Geräte zu entwickeln. iv ACKNOWLEDGMENTS I thank my supervisor, Prof. Matthias Hollick, for providing a working environment that encourages creativity, for giving me the freedom to choose interesting research topics, and for advising me during the work that resulted in this dissertation. I thank my co-supervisor, Prof. Guevara Noubir, for accepting my request to review my work. I thank my collaborators and the students I supervised for their hard work on implementing ideas that finally ended up in this document. Only by collaborating we were able to achieve our targeted goals. I thank my family, especially my parents, my wife, my sister, and my grandmother for continuously supporting me during my studies. I thank my colleagues for a positive working atmosphere, their support, their humor, their friendship, and all the social events we enjoyed together. I thank our secretary and our admins for their administrative support and the technical infrastructure. I thank both the German Research Foundation (DFG) for funding my work through the Collaborative Research Center (SFB) 1053 MAKI and the Hessian Ministry of Science and Art for funding my work through the LOEWE Research Cluster NICER. v CONTENTS I introduction1 1motivationandgoals 3 1.1 Problem statement . 3 1.2 Our approach . 4 1.3 Our goals and challenges . 5 2contribution 7 2.1 Analysis and security enhancement . 7 2.2 Framework and toolset . 7 2.2.1 JTAG-less debugging . 8 2.2.2 Real-time MAC access . 8 2.2.3 Operating Wi-Fi chips as software-defined radios . 8 2.2.4 Channel state information extraction . 10 2.2.5 Position-independent code generation . 10 2.3 Applications . 10 2.3.1 Ping-offloading . 10 2.3.2 Software-defined wireless networking . 11 2.3.3 Reactive jamming with arbitrary waveforms . 11 2.3.4 Covert channels by prefiltering outgoing frames . 11 3 related work 13 3.1 Work related to modifying FullMAC firmwares . 13 3.2 Work related to modifying real-time firmwares . 14 3.3 Conclusion . 14 II chip internals and firmware handling 15 4 broadcom’s wi-fi chips 17 4.1 SoftMAC vs. FullMAC chips . 17 4.2 Transmit path . 19 4.2.1 Physical layer components . 19 4.2.2 Arbitrary signal transmissions . 20 4.2.3 Advanced raw signal transmissions . 20 4.3 Receive path . 21 4.3.1 Collecting raw samples . 22 4.3.2 Demodulating Wi-Fi frames . 22 4.3.3 Frame processing on the receive path . 23 4.4 Programmable state machine (PSM) . 23 4.4.1 Programming the PSM . 23 4.5 Embedded ARM processor . 24 4.5.1 Flash patching unit . 24 4.5.2 Debugging core . 24 4.6 Conclusion . 25 5 firmwareanalysisandsecurityimprovements 27 vii viii contents 5.1 Analyzing the current state of firmware handling . 28 5.1.1 Limitations of the design decisions . 28 5.2 Improving security in future chip models . 29 5.2.1 Limiting access to chip internals and memory . 30 5.2.2 Avoiding flashpatches