x0ttab17 мар в 05:16

Реверс-инжиниринг IoT: от UART до root-бэкдора

Средний

12 мин

8.8K

Интернет вещейИнформационная безопасность * Реверс-инжиниринг *

Кейс

Из песочницы

+36

Комментарии 17

SHUstri 17 мар в 06:00

Спасибо за такие статьи.
Ничего не понял, но как будто прикоснулся к чему-то прекрасному и по-настоящему инженерному, а не этому вот ИИ-всему.

lelik363 17 мар в 06:30

Обязательно ли нужен прямой доступ к плате камеры, чтобы проделать все эти манипуляции?

sqooph 17 мар в 16:13

Нет, можно вообще не покупать а прям в приложении WB реверсить.

x0ttab 18 мар в 12:36

В данном случае, первостепенной задачей для меня было получение постоянного root доступа по сети, чтобы исследуемую железяку можно было видеть не только снаружи, но и изнутри: смотреть запущенные процессы, знать какие порты слушаются, что в логах видно, и так далее. И, разумеется, чтобы можно было отключиться от UART, собрать камеру обратно в корпус, и заходить под root без танцев с ~~бубном~~ проводами.

Поэтому, чтобы сделать это быстро (и не искать уязвимости вслепую) - думаю, что доступ к плате всё же нужен.

thereisnocolor 17 мар в 06:50

Господи, как же это хорошо. Понятно, просто, со сниппетами и скринами. Больше спасибо!

VsBirdEye 17 мар в 07:09

Зачастую анализ прошивки от устройства, если удается ее найти, дает еще массу векторов для атаки и закрепления - например, hardcoded пароли которые "чисто случайно" оказываются еще и паролями от встроенного root аккаунта.
А весь доступный веб-интерфейс и api у устройства при тщательном тестировании на типовые уязвимости добавляет еще тележку дыр.
Вообще у меня порой возникает ощущение, что "дырявость" китайских устройств это не столько недостаток квалификации разработчиков, сколько осознанная политика - чем больше дырявых устройств по миру, тем проще через них получать доступ, собирать информацию.

thereisnocolor 17 мар в 11:02

Не хотите ли написать соответствующую статью? Например за основу взять прошивку от какого-нибудь устройства Xiaomi, в силу их распространенности.

NutsUnderline 18 мар в 06:22

как в теории там все дырявое, а как на практике - еще выискать надо.

NutsUnderline 18 мар в 06:35

для экспериментов еще дешевле можно взять вообще отдельно модуль камеры, без корпуса и даже без объектива. но использовать arduino вместо копеечного преобразователя - usb uart это уже кроилово

собственно я озадачился подобной задачей, однако реверсер из меня так себе, но я был "хитрый" и взял модуль который заведомо можно перепрошивать. Правда внезапно был пароль на uboot, но его тоже уже на дизасмили до меня.

в результате я потратил время на неуспешные игрища с хешем рутового пароля , без поиска таких вот "тонких" моментов. зато появились дополнения по прошивки камер в OpenIPC

NutsUnderline 18 мар в 06:40

кстати я вот точно так же тисками держал плату и повредил индутивнность распаянную на самом краю платы

x0ttab 18 мар в 13:01

Я тоже переживал, чтобы ничего не сломать случайно, но, вроде бы, обошлось :) Если под рукой есть более щадящий и аккауратный инструмент для фиксации платы, то конечно, лучше тисками не пользоваться.

chyvack 18 мар в 09:12

OpenIPC на неё нельзя залить?

NutsUnderline 18 мар в 10:16

для этого гораздо лучше зайти на сайт OpenIPC и посмотреть на какие камеры можно (и на какие нельзя)

chyvack 18 мар в 10:48

в том и дело, что openIPC есть поддержка

Ingenic T31AL
Ingenic T31L
Ingenic T31N
Ingenic T31X
Ingenic T31ZL
Ingenic T31ZX, про Ingenic XBurst T31 ничего не сказано, гугл говорит Ingenic T31N Стандартная (Normal) Сбалансированный вариант для массовых камер. Часто встречается в модулях с разрешением 4Мп (2560x1440) при 20 к/с.