Wireless communication standards and implementations have a troubled history regarding security. Since most implementations and firmwares are closed-source, fuzzing remains one of the main methods to uncover Remote Code Execution (RCE) vulnerabilities in deployed systems. Generic over-the-air fuzzing suffers from several shortcomings, such as constrained speed, limited repeatability, and restricted ability to debug. In this paper, we present Frankenstein, a fuzzing framework based on advanced firmware emulation, which addresses these shortcomings. Frankenstein brings firmware dumps "back to life", and provides fuzzed input to the chip's virtual modem. The speed-up of our new fuzzing method is sufficient to maintain interoperability with the attached operating system, hence triggering realistic full-stack behavior. We demonstrate the potential of Frankenstein by finding three zero-click vulnerabilities in the Broadcom and Cypress Bluetooth stack, which is used in most Apple devices, many Samsung smartphones, the Raspberry Pis, and many others. Given RCE on a Bluetooth chip, attackers may escalate their privileges beyond the chip's boundary. We uncover a Wi-Fi/Bluetooth coexistence issue that crashes multiple operating system kernels and a design flaw in the Bluetooth 5.2 specification that allows link key extraction from the host. Turning off Bluetooth will not fully disable the chip, making it hard to defend against RCE attacks. Moreover, when testing our chip-based vulnerabilities on those devices, we find BlueFrag, a chip-independent Android RCE.

中文翻译：

---

Frankenstein：高级无线模糊测试以利用新的蓝牙升级目标

无线通信标准和实施在安全性方面有着麻烦的历史。由于大多数实现和固件都是闭源的，因此模糊测试仍然是发现已部署系统中远程代码执行 (RCE) 漏洞的主要方法之一。通用的空中模糊测试有几个缺点，例如速度受限、可重复性有限和调试能力受限。在本文中，我们提出了 Frankenstein，一种基于高级固件仿真的模糊测试框架，它解决了这些缺点。Frankenstein 使固件转储“恢复生机”，并为芯片的虚拟调制解调器提供模糊输入。我们新的模糊测试方法的加速足以保持与附加操作系统的互操作性，从而触发真实的全栈行为。我们通过在 Broadcom 和 Cypress 蓝牙堆栈中发现三个零点击漏洞来展示 Frankenstein 的潜力，该堆栈用于大多数 Apple 设备、许多三星智能手机、Raspberry Pi 和许多其他设备。鉴于蓝牙芯片上的 RCE，攻击者可能会将他们的权限提升到芯片边界之外。我们发现了导致多个操作系统内核崩溃的 Wi-Fi/蓝牙共存问题，以及蓝牙 5.2 规范中允许从主机提取链接密钥的设计缺陷。关闭蓝牙并不会完全禁用芯片，从而难以防御 RCE 攻击。此外，在这些设备上测试我们基于芯片的漏洞时，我们发现 BlueFrag，一种独立于芯片的 Android RCE。鉴于蓝牙芯片上的 RCE，攻击者可能会将他们的权限提升到芯片边界之外。我们发现了导致多个操作系统内核崩溃的 Wi-Fi/蓝牙共存问题，以及蓝牙 5.2 规范中允许从主机提取链接密钥的设计缺陷。关闭蓝牙并不会完全禁用芯片，从而难以防御 RCE 攻击。此外，在这些设备上测试我们基于芯片的漏洞时，我们发现 BlueFrag，一种独立于芯片的 Android RCE。鉴于蓝牙芯片上的 RCE，攻击者可能会将他们的权限提升到芯片边界之外。我们发现了导致多个操作系统内核崩溃的 Wi-Fi/蓝牙共存问题，以及蓝牙 5.2 规范中允许从主机提取链接密钥的设计缺陷。关闭蓝牙并不会完全禁用芯片，从而难以防御 RCE 攻击。此外，在这些设备上测试我们基于芯片的漏洞时，我们发现 BlueFrag，一种独立于芯片的 Android RCE。很难防御 RCE 攻击。此外，在这些设备上测试我们基于芯片的漏洞时，我们发现 BlueFrag，一种独立于芯片的 Android RCE。很难防御 RCE 攻击。此外，在这些设备上测试我们基于芯片的漏洞时，我们发现 BlueFrag，一种独立于芯片的 Android RCE。