数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目! | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

申博_安全防护 申博 71次浏览 已收录 0个评论

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

图片传输协定(PTP)

当代单反相机不再运用胶片来捕获和再现图象,而是运用图片传输协定(PTP)。图片传输协定最初重要触及图象传输,如今这个协定包括了几十个差别的敕令,支撑从拍照到晋级相机固件的任何操纵。

之前大多数用户运用USB数据线将相机衔接到个人电脑,但新款相机如今支撑WiFi衔接。这意味着,曾只要USB衔接装备才接见的PTP/USB协定,如今也变成了每一个近距离支撑wifi的装备都可以接见的PTP/IP协定。

在一次演讲中,Daniel Mende (ERNW)展现了佳能EOS相机当时支撑的每一种收集协定可以遭遇的一切差别的收集进击。在演讲的末了,Daniel议论了PTP/IP收集协定,展现了进击者可以经由过程从收集嗅探特定的GUID与相机通讯,该GUID是在目的盘算机与相机配对时天生的。由于PTP协定供应了多种敕令,而且没有以任何体式格局举行身份考证或加密,因而他演示了怎样运用协定中存在的功用看管受害者。

在研讨中,研讨人员的目的是逾越接见和运用协定的功用。他们模仿进击者,愿望在协定中找到完成破绽,愿望应用它们来接受相机。如许的长途实行代码(RCE)场景将许可进击者用相机做任何他们想做的事变,用讹诈软件感染相机只是浩瀚选项之一。

从进击者的角度来看,PTP层看起来是一个很好的进击目的,由于:

1. PTP是一种未经身份考证的协定,支撑许多差别的庞杂敕令;

2. PTP中的破绽可以经由过程USB和WiFi举行一致水平的应用;

3. WiFi支撑使研讨人员的相机更轻易被四周的进击者接见。

在本文中,研讨人员会将PTP作为进击载体,引见两种潜伏的进击要领:

1. USB:假如一个进击者接受了你的电脑,就可以经由过程USB将歹意软件流传到你的相机中;

2. WiFi:进击者可以在旅游景点设置一个地痞WiFi接入点,感染你的相机。

进击目的的设定

研讨人员挑选佳能EOS 80D单反相机的缘由有许多:

1. 佳能是最大的单反相机制造商,掌握着凌驾50%的市场份额;

2. EOS 80D支撑USB和WiFi;

3. 佳能配有Magic Lantern,Magic Lantern是佳能单反相机推出的一款扩展包,重要包括Dual ISO捕获两种差别闪光局限的图象、扩展动态局限、延时拍照、定时暴光掌握计等功用,支撑扩展API。从而进步相机的扩展功用。

猎取固件

这一般是每一个嵌入式研讨中最辣手的部份,第一步是搜检供应商的网站上是不是有公然可用的固件更新文件。不出所料,研讨人员在短时间的谷歌搜刮以后找到了它。下载文件并提取归档文件以后,研讨人员遇到了一个使人不快的不测。该文件好像是加密或紧缩的,如图1所示。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

在阅读该文件时,研讨人员没有找到任何有用的形式,这可以暗示了指导加载顺序的汇编代码的存在。在许多状况下,指导加载顺序是未紧缩的,它包括解密或解紧缩文件所需的指令。

尝试运用Binwalk或7Zip等多种解紧缩东西都无用,这意味着这是一种专有的紧缩设计,以至是一种专用的加密设计。

在谷歌,研讨人员搜检了互联网对这个. fir文件的意见,发明固件确切是AES加密的。

由因而开源的,研讨人员愿望ML(Magic Lantern)可以以某种体式格局宣布这个加密密钥,从而许可解密固件。不幸的是,现实并非如此。ML不仅有意将加密密钥保密,研讨人员以至在互联网上的任何地方都找不到密钥。经由过程勤奋,研讨人员发明ML开辟了一种叫做便携式ROM转储的东西。这是一个自定义固件更新文件,一旦加载,就会将相机的内存转储到SD卡。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

运用ML论坛中供应的申明,研讨人员成功地卸载了相机的固件,并将其加载到研讨人员的反汇编顺序(IDA Pro)中。如今研讨人员终究可以最先寻觅相机的破绽了。

反转PTP层

此时,查找PTP层就异常轻易:

1. PTP层是基于敕令的,而且每一个敕令都具有唯一的数字操纵码;

2. 固件包括许多指导字符串,这简化了逆向工程的使命。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

经由过程遍历PTP OpenSession处置惩罚顺序,研讨人员找到了依据操纵码注册一切PTP处置惩罚顺序的主函数。疾速搜检确保固件中的字符串与研讨人员在网上找到的文档婚配。

在检察注册函数时,研讨人员发明PTP层的进击面许多。该函数注册了148个差别的处置惩罚顺序,表明供应商支撑许多专有敕令。经由过程实行近150种差别的敕令,在其中一种敕令中找到症结破绽的可以性异常高。

PTP处置惩罚顺序的API

每一个PTP敕令处置惩罚顺序都可以完成雷同的代码API。API运用了ptp_context对象,图4显现了ptp_context的一个用例。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

可以看到,高低文包括函数指针,用于:

1. 查询输入音讯的大小;

2. 吸收输入的音讯;

3. 处置惩罚音讯后返回相应。

现实证明,大多数敕令都相对简朴。它们只吸收几个数字参数,由于协定支撑每一个敕令最多有5个如许的参数。在扫描了一切支撑的敕令以后,148个敕令的列表很快缩小到38个吸收输入缓冲区的敕令。从进击者的角度来看,研讨人员完整掌握了这个输入缓冲区,因而,我们可以最先在这幺小的敕令集合查找破绽。

荣幸的是,每一个敕令的剖析代码都运用一般的C代码,而且异常轻易剖析。很快,研讨人员发明了自身的第一个破绽。

CVE-2019-5994:SendObjectInfo中的缓冲区溢出(0x100C)

PTP敕令称号:SendObjectInfo

PTP敕令操纵码:0x100c

在内部,协定将支撑的文件和图象称为“对象”,在这个敕令中,用户更新给定对象的元数据。处置惩罚顺序在剖析应该是对象的Unicode文件名时包括缓冲区溢出破绽。图5显现了易受进击的代码片断的简化代码版本:

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

这是重要全局高低文中的缓冲区溢出,在此高低文中,无需反转差别的字段,研讨人员具有的唯一的直接暗示就是复制以后的Free-Where原语。副本可以将pKeywordsStringUnicode字段修改成恣意值,然后触发挪用以开释它。

这看起来是一个好要领,然则研讨人员要继承寻觅一个更轻易被应用的破绽。

CVE-2019-5998:NotifyBtStatus中的缓冲区溢出(0x91F9)

PTP敕令称号:NotifyBtStatus

PTP敕令操纵码:0x91F9

Blackhat 19:逆向WhatsApp加密来修正会话音讯

WhatsApp目前在180个国家有超过15亿用户,平均每个用户每天查询whatsapp超过23次。预计到2021年,美国将有超过2.56亿用户。 2018年底, Check Point研究人员通知了WhatsApp中的漏洞,攻击者利用该来的可以拦截和操作私聊和群聊中发送的消息,还可以生成貌似来自可信源的假消息。 Check Point研究团队分析了利用该漏洞的3种方法,所有都使用社会工程技术来欺骗终端用户。攻击者可以: · 使用群聊中的quote特征来修改发送者的身份,及时发送者不是群聊成员也可以。 · 修改其他人回复的内容,发消息给自己。 · 发送私聊消息另一个伪装为公开消息的群成员,当目标个人回复该消息时,别

只管研讨人员的相机型号不支撑蓝牙,但一些与蓝牙相干的敕令明显还存在的,进击者依然可以接见它们。在本例中,研讨人员发明了一个典范的基于客栈的缓冲区溢出,如图6所示。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

CVE-2019-5999:BLERequest中的缓冲区溢出(0x914C)

PTP敕令称号:BLERequest

PTP敕令操纵码:0x914C

看起来蓝牙敕令比其他敕令更轻易遭到进击,这可以意味着开辟团队缺乏经验。这一次研讨人员发明了一个基于堆的缓冲区溢出,如图7所示。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

如今总共有3个破绽:

· 全局构造上的缓冲区溢出;

· 缓冲区溢出客栈;

· 堆上的缓冲区溢出。

如前所述,研讨人员将尝试应用基于客栈的破绽,这多是最轻易的。

代码实行

研讨人员起首运用USB线把相机和电脑衔接起来,研讨人员之前运用的USB接口与佳能的“EOS实用顺序”软件,好像很自然地试图应用USB传输层。在搜刮PTP Python库时,研讨人员发明了ptpy。

在编写代码实行破绽之前,研讨人员先从一个小的看法考证(PoC)最先,它将触发研讨人员发明的每一个破绽。图8显现了相机怎样崩溃,供应商将其形貌为“Err 70”。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

如今,是时刻最先真正的破绽应用了。

破绽应用

研讨人员的设计是运用Sleep()函数作为断点,并测试在给定的秒数以后是不是可以看到装备崩溃。这将确认他们接受了实行流程并触发了对Sleep()的挪用。大多数状况下,易受进击的使命只是在没有触发崩溃的状况下住手的,从而致使相机住手工作。现在研讨人员没法辨别住手工作、就寝和运转挂起的状况,这使得研讨人员的断点战略毫无意义。

研讨人员决议转变战略,经由过程寻觅一个老是触发Err 70的代码地点。从如今最先,研讨人员的断点将是对该地点的挪用,崩溃意味着研讨人员击中了断点。

研讨人员逐步构建研讨人员的破绽,直到终究研讨人员可以实行研讨人员自身的顺序集片断——如今研讨人员有了代码实行。

歹意加载

研讨人员一般运用基础的TCP加载器举行Scout,这须要收集衔接。虽然研讨人员可以运用一个文件加载器来从SD卡加载Scout,然则稍后须要为Scout供应雷同的收集衔接,所以研讨人员最好如今就处理这个题目。

检察了差别设置后,研讨人员意想到WiFi不能在USB衔接的时刻运用,许多是由于它们都是PTP层的,不支撑同时运用,所以研讨人员决议只运用WiFi。

在研讨人员再次检察了PTP敕令处置惩罚顺序的列表,此次更彻底地检察了每一个敕令处置惩罚顺序。令研讨人员大为欣喜的是,研讨人员发明了更多的破绽。

CVE-2019-6000:SendHostInfo中的缓冲区溢出(0x91E4)

PTP敕令称号:SendHostInfo

PTP敕令操纵码:0x91E4

检察易受进击的代码,如图9所示,研讨人员第一眼就很明显地疏忽了这个破绽。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

这一次,开辟人员虽然记得要搜检音讯的预期牢固大小为100字节。但是,他们却忘记了一些至关重要的事变。不法数据包只会被纪录,但不会被删除。在疾速搜检了研讨人员的WiFi测试环境后他们确切看到了崩溃。

虽然这个破绽恰是研讨人员一直在寻觅的,然则他们决议继承寻觅更多的破绽,特别是这类破绽极可以会在多个敕令中找到。

CVE-2019-6001:SetAdapterBatteryReport中的缓冲区溢出(0x91FD) 

PTP敕令称号:SendAdapterBatteryReport

PTP敕令操纵码:0x91FD

研讨人员不仅发明了另一个具有雷同代码形式的破绽,而且这是列表中的末了一个敕令,为研讨人员供应了很好的效果。图10显现了易受进击的PTP处置惩罚顺序的简化版本。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

在本例中,由于客栈缓冲区相称小,因而研讨人员将继承运用之前的破绽。

注重:在WiFi设置中测试这个破绽时,研讨人员发明它在函数返回之前也崩溃了。所以,研讨人员只能经由过程USB衔接来应用它。

第二次尝试寻觅歹意载荷

既然发明了破绽,研讨人员就可以实行进击,并成功地在相机上加载了Scout。如今,研讨人员有了一个收集调试器,可以最先转储内存地点,以便在逆向工程过程当中协助实行进击。

然则,研讨人员的目的是展现运用图片传输协定从USB和WiFi中挟制相机。虽然这两个传输层之间有一些纤细的差别,但终究研讨人员运用的破绽在两种状况下都有用,从而证明了他们的看法。但是,接受相机只是研讨人员提议进击的第一步。如今是时刻建立一些讹诈软件了。

加密

任何讹诈软件都须要加密功用来加密存储在装备上的文件,如上所述,固件更新过程提到了AES加密,这看起来是个一次性完成一切使命的好机会。

这个逆向工程使命比研讨人员设想的要简朴很多,由于研讨人员不仅找到了AES函数,还找到了固件更新过程的考证息争密密钥。由于AES是对称暗码,所以一样的密钥也可以用于加密歹意固件更新,然后对其署名,使其经由过程考证搜检。

研讨人员运用了Scout完成了一切庞杂的暗码算法,并完成了一条模仿固件更新过程的新指令,然后终究返回算法盘算的暗码署名。运用此指令,研讨人员可以晓得固件更新文件中每一个部份的准确署名是什么,从而有用地猎取相机自身的署名原语。

在图11中,你可以看到研讨人员的自定义ROM转储顺序,它是经由过程修补Magic Lantern的ROM转储顺序建立的。

数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!

CVE-2019-5995:歹意固件在背景悄然举行更新

这是有一个用于长途固件更新的PTP敕令,它不须要任何用户交互。这意味着纵然一切的破绽都已修复,进击者依然可以运用歹意固件更新文件来感染相机。

讹诈目的的完成

在完成固件更新过程以后,就可以完成讹诈目的了。讹诈软件运用与固件更新过程雷同的加密函数,并在固件中挪用雷同的AES函数。加密SD卡上的一切文件后,讹诈软件会向用户显现讹诈音讯。

先设置一个地痞WiFi接入点可以很轻易地完成,起首是嗅探收集,然后捏造一个AP,使它的称号与相机自动尝试衔接的称号雷同。一旦进击者与相机位于统一局域网内,就可以提议进击。本文翻译自:https://research.checkpoint.com/say-cheese-ransomware-ing-a-dslr-camera/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明数码单反相机居然也能够被黑客实行讹诈进击!不信吗!请拿出你的佳能相机过过目!
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址