Pesquisadores usam técnica ‘Blinkenlights’ para extrair firmware de smartwatch barato
Descoberta e escopo / O que mudou agora
Pesquisadores da Quarkslab publicaram uma demonstração prática em que extraíram o firmware completo de um smartwatch barato (~€12) usando uma variação moderna da técnica conhecida como “Blinkenlights”. O método explora uma falha no parser de dials do dispositivo que permite leitura fora dos limites (out-of-bounds) e força o aparelho a exibir regiões de memória diretamente na tela, que foram posteriormente capturadas por hardware barato.
Vetor e exploração / Mitigações
O smartwatch analisado usa o SoC JieLi AC6958C6 e um controlador de tela NV3030B que transmite pixels em RGB565 a 25 MHz. A cadeia de exploração descrita pelos pesquisadores contém os seguintes elementos verificáveis:
- uma vulnerabilidade no dial parser que não valida corretamente offsets de imagens, permitindo um read out-of-bounds;
- uso de dials maliciosos com offsets manipulados que induzem o dispositivo a ler e exibir conteúdo de memória não previsto pelo fabricante;
- captura do fluxo de pixels pela interface da tela: os pesquisadores soldaram fios finos ao conector do display e usaram um Raspberry Pi Pico overclockado a 200 MHz para amostrar os sinais com a ajuda do PIO (Programmable Input/Output);
- identificação e reconstrução do conteúdo de memória usando cabeçalhos de sincronização (sincronizadores 0xa5a5a5a5 e magic bytes 0xdeadbeef) e scripts Python para montar fatias do firmware.
A equipe tentou outras vias inicialmente: o mecanismo OTA do fabricante (aceita upload mas não download) e a autenticação Bluetooth baseada em E1 com valores hardcoded — essa última pôde ser replicada, mas não resultou no dump do firmware. A técnica final mostrou-se mais prática, em especial pelo custo reduzido (além do Pico, não foi necessário um analisador lógico caro).
Impacto e alcance / Setores afetados
O experimento destaca dois vetores de risco para dispositivos embarcados de baixo custo: (1) falhas de validação simples em parsers que permitem leitura arbitrária de memória; (2) superfícies físicas ainda acessíveis em muitos wearables (conectores de display, pads de solda) que facilitam ataques de recuperação de firmware por invasores com acesso físico. O impacto prático depende do uso final do dispositivo — smartwatches que armazenam chaves, credenciais Bluetooth ou certificados podem oferecer vetor de escalada maior do que unidades usadas apenas para exibição de tempo.
Limites das informações / O que falta saber
Os pesquisadores testaram um único modelo de baixo custo com SoC JieLi AC6958C6. Não há, no relatório, evidência de que outros modelos comerciais populares compartilham a mesma falha no parser de dials. Também não há indicação pública de exploração remota desta vulnerabilidade sem acesso físico ao conector do display ou à capacidade de enviar dials maliciosos ao aparelho.
Recomendações práticas
- para fabricantes: validar estritamente offsets e tamanhos ao processar dados de firmware ou de personalização (CWE-125 / OOB read) e limitar funcionalidades que exibem memória arbitária no display;
- para integradores e fornecedores de dispositivos embarcados: reduzir interfaces físicas expostas no produto final e evitar hardcoded values em mecanismos de autenticação;
- para equipes de defesa de produto e resposta a incidentes: incluir inspeção de parsers de recursos (imagens/dials) em auditorias de firmware e reposicionar testes com hardware barato (Pico/PIO) como etapa de engenharia reversa defensiva).
Repercussão / Próximos passos
A demonstração mostra que técnicas antigas como Blinkenlights continuam relevantes quando combinadas com criatividade de engenharia. Fabricantes de wearables de baixo custo devem revisar processos de ingestão de conteúdo (dials/custom faces) e melhorar validações. Pesquisas futuras precisarão mapear a prevalência da mesma classe de parser em outros dispositivos com SoCs JieLi e controladores NV3030B.
Fonte
Quarkslab via Cyber Security News — registro técnico e demonstração de extração de firmware usando Raspberry Pi Pico e PIO.